本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 API 的操作模式
与的属性配合使用 Amazon Web Services 账户的 API 操作始终采用以下两种操作模式之一:
+ **独立上下文** — 此模式用于某个账户用户或角色访问或更改***同一***账户中的账户属性时。如果您在调用账户管理 Amazon CLI 或 Amazon SDK 操作时***不***包含该`AccountId`参数,则会自动使用独立上下文模式。
+ **组织上下文** — 此模式用于组织中某个账户用户或角色访问或更改同一组织中不同成员账户的账户属性时。当您调用账户管理 Amazon CLI 或 Amazon SDK 操作时,如果***确实***包含了该`AccountId`参数,则会自动使用组织上下文模式。此模式下,只能通过组织的管理账户或账户管理的委托管理员账户调用操作。
Amazon CLI 和 S Amazon DK 操作既可以在独立环境中运行,也可以在组织环境中运行。
+ 如果您***未***包含 `AccountId` 参数,则此操作运行在独立上下文中,并自动将请求应用到您用于发出请求的账户。无论账户是否为组织的成员账户,都是如此。
+ 如果确实包含了 `AccountId` 参数,则此操作运行在组织上下文中,并且此操作还在指定的组织账户上运行。
+ 如果调用此操作的账户是管理账户或账户管理服务的委托管理员账户,则可以在 `AccountId` 参数中指定该组织的任何成员账户来更新指定的账户。
+ 组织中唯一可以调用备用联系人操作并在 `AccountId` 参数中指定其自有账号的账户是指定为账户管理服务[委托管理员账户](using-orgs-delegated-admin.md)的账户。其他任何账户,包括管理账户,都会收到 `AccessDenied` 异常。
+ 如果在独立模式下运行操作,则必须获准使用 IAM 策略运行该操作,该策略包含的 `Resource` 元素或者为允许所有资源的 `"*"`,或者为[使用独立账户语法的 ARN](#account-arn-standalone)。
+ 如果在组织模式下运行操作,则必须获准使用 IAM 策略运行该操作,该策略包含的 `Resource` 元素或者为允许所有资源的 `"*"`,或者为[使用组织成员账户语法的 ARN](#account-arn-organizations)。
## 授予更新账户属性的权限
与大多数 Amazon 操作一样,您可以使用 [IAM 权限策略授予添加、更新或删除账户属性的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 Amazon Web Services 账户 在向 IAM 主体(用户或角色)附加 IAM 权限策略时,可以指定主体可以在哪些资源上以及在什么条件下执行哪些操作。
以下是创建权限策略时针对账户管理的一些注意事项。
### 的 Amazon 资源名称格式 Amazon Web Services 账户
+ 根据您要引用的账户是独立账户还是组织中的账户,您可以包含在政策声明`resource`元素中的[亚马逊资源名称 (ARN)](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html) 的结构会有所不同。 Amazon Web Services 账户 请参阅[了解 API 的操作模式](#manage-acct-api-modes-of-operation)中的上一部分。
+ 独立账户的账户 ARN:
```
arn:aws:account::{{{AccountId}}}:account
```
在不包括 `AccountID` 参数的独立模式下运行账户属性操作时,必须使用此种格式。
+ 组织成员账户的账户 ARN:
```
arn:aws:account::{{{ManagementAccountId}}}:account/o-{{{OrganizationId}}}/{{{AccountId}}}
```
在包括 `AccountID` 参数的组织模式下运行账户属性操作时,必须使用此种格式。
### IAM 策略的上下文键
账户管理服务还提供多个[账户管理服务专属条件键](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys),可对您授予的权限进行精细控制。
#### `account:AccountResourceOrgPaths`
上下文键 `account:AccountResourceOrgPaths` 允许指定一条通过组织层次结构到达特定组织单位 (OU) 的路径。只有该 OU 所包含的成员账户才符合条件。以下示例片段将该政策限制为仅适用于两个指定账户中的任意一个。 OUs
由于 `account:AccountResourceOrgPaths` 是多值字符串类型,因此必须使用 [`ForAnyValue` 或 `ForAllValues` 多值字符串](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)运算符。另外,请注意,条件键的前缀是`account`,即使您引用的是组织 OUs 中的路径。
```
"Condition": {
"ForAnyValue:StringLike": {
"account:AccountResourceOrgPaths": [
"{{o-aa111bb222}}/{{r-a1b2}}/{{ou-a1b2-f6g7h111}}/*",
"{{o-aa111bb222}}/{{r-a1b2}}/{{ou-a1b2-f6g7h222}}/*"
]
}
}
```
#### `account:AccountResourceOrgTags`
上下文键 `account:AccountResourceOrgTags` 允许您引用可以附加到组织账户的标签。标签是一对 key/value 字符串,可用于对账户中的资源进行分类和标签。有关更多信息,请参阅*《Amazon Resource Groups 用户指南》*中的[标签编辑器](https://docs.amazonaws.cn/ARG/latest/userguide/tag-editor.html)。有关在基于属性的访问控制策略中使用标签的信息,请参阅*《IAM 用户指南》*中的[什么是 Amazon的 ABAC](https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。以下示例片段将策略限制为仅适用于组织中具有键 `project` 和值 `blue` 或 `red` 的标签的账户。
由于 `account:AccountResourceOrgTags` 是多值字符串类型,因此必须使用 [`ForAnyValue` 或 `ForAllValues` 多值字符串](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)运算符。另请注意,条件键的前缀是 `account`,即使您引用的是组织成员账户上的标签。
```
"Condition": {
"ForAnyValue:StringLike": {
"account:AccountResourceOrgTags/project": [
"blue",
"red"
]
}
}
```
**注意**
您只能将标签附加到组织中的账户。您无法将标签附加到独立版 Amazon Web Services 账户。