管理帳戶、受信任的存取和委派的系統管理員

通過進行簡短的調查來影響AWS安全參考架構（AWSSRA）的 future。

管理帳戶 (也稱為 AWS 組織管理帳戶或組織管理帳戶) 是唯一的，與 AWS Organizations 中的其他帳戶有所不同。這是建立 AWS 組織的帳戶。您可以使用此帳戶在 AWS 組織中建立 AWS 帳戶、邀請其他現有帳戶加入 AWS 組織 (這兩種類型都被視為成員帳戶)、從 AWS 組織移除帳戶，以及將 IAM 政策套用至 AWS 組織內的根帳戶、OU 或帳戶。 

管理帳戶透過會影響 AWS 組織中所有成員帳戶的 SCP 和服務部署 (例如 AWS CloudTrail) 部署通用安全防護。若要進一步限制管理帳戶中的權限，可以在可能的情況下將這些權限委派給另一個適當的帳戶，例如安全性帳戶。 

管理帳戶擁有付款人帳戶的責任，並要負責支付成員帳戶累積的所有費用。您無法切換 AWS 組織的管理帳戶。一個 AWS 帳戶一次只能是一個 AWS 組織的成員。  

由於管理帳戶擁有的功能和影響範圍，我們建議您限制對此帳戶的存取權，並僅將權限授與需要這些帳戶的角色。可協助您執行此操作的兩項功能是受信任的存取和委派的系統管理 您可以使用受信任的存取來啟用指定的 AWS 服務 (稱為受信任的服務)，以代表您在 AWS 組織及其帳戶中執行任務。這涉及將權限授予受信任的服務，但不會影響 IAM 實體的許可。您可以使用受信任的存取指定設定和組態詳細資訊，以代表您在 AWS 組織的帳戶中維護受信任的服務。例如，AWS SRA 的組織管理帳戶部分說明如何授予 AWS CloudTrail 服務受信任存取權限，以便在 AWS CloudTrail 組織中的所有帳戶中建立組織追蹤。

部分 AWS 服務支援 AWS Organizations 中的委派管理員功能。 使用此功能，相容的服務可以在 AWS 組織中註冊 AWS 成員帳戶，成為該服務中 AWS 組織帳戶的管理員。此功能為企業內的不同團隊提供彈性，讓他們可以根據其職責使用不同的帳戶來管理整個環境的 AWS 服務。AWS SRA 中目前支援委派管理員的 AWS 安全服務包括 AWS IAM 身分中心 (AWS Single Sign-On 的繼任者)、AWS Config、AWS Firewall Manager、亞馬遜 GuardDuty、AWS IAM 存取分析器、Amazon Macie、AWS Security Hub、亞馬遜 Detective、AWS Audit Manager、Amazon Inspector 員和 AWS Systems Manager。AWS SRA 強調委派管理員功能的使用，作為最佳實務，我們將安全相關服務的管理委派給安全工具帳戶。