使用Amazon组织中的账户管理 - Amazon账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用Amazon组织中的账户管理

Amazon Organizations是Amazon是否可用于管理您的服务 Amazon Web Services 账户 作为一组。这提供了诸如整合账单之类的功能,您账户的所有账单都归组在一起并由单个付款人处理。您还可以使用基于策略的控制来集中管理组织的安全性。

有关 Amazon Organizations 的更多信息,请参阅 Amazon Organizations 用户指南

Amazon账户管理将该功能扩展到还包括对附加到 Amazon Web Services 账户 ,例如备用联系信息。

当您使用时Amazon Organizations要将您的账户作为一个群组管理,组织的大多数管理任务只能由组织的管理账户. 默认情况下,这仅包括与管理组织本身相关的操作。您可以将此附加功能扩展到其他功能Amazon启用服务可信访问权在 Organizations 和该服务之间。受信任的访问授予对指定Amazon服务来访问有关组织及其包含的帐户的信息。当您为账户管理启用可信访问权限时,账户管理服务会向 Organizations 及其管理帐户授予访问组织所有成员账户元数据的权限。

启用可信访问权限后,还可以选择将其中一个成员帐户指定为委托管理员账户Amazon账户管理。这允许委派管理员帐户对组织中的成员账户执行与以前只有管理帐户可以执行的相同的账户管理元数据管理任务。委托管理员帐户只能访问账户管理服务的管理任务。委托管理员帐户不具有管理帐户所拥有的组织的所有管理访问权限。

启用可信访问权限和委派管理员可以使用accountID那些中的参数账户管理 API 操作那支持它。只有在使用管理帐户中的凭据调用操作(如果启用了可信访问),或者如果启用了可信访问权限,则可以成功使用此参数。

当你 Amazon Web Services 账户 是由管理的组织的一部分Amazon Organizations,那么组织的管理员可以申请服务控制策略 (SCP)这可能会限制会员账户中的委托人可以做什么。SCP 永远不会授予权限;相反,它是限制成员账户可以使用哪些权限的过滤器。用户或角色 (委托人) 在成员账户中,只能执行与应用于该账户的 SCP 允许的操作以及附加到委托人的 IAM 权限策略交叉点的操作。例如,您可以使用 SCP 来防止账户中的任何委托人修改自己账户的备用联系人。例如,适用于的 SCP Amazon Web Services 账户 ,请参阅限制访问Amazon Organizations服务控制策略.