与 Organizations 配合使用的 Amazon Web Services 服务委派管理员 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

与 Organizations 配合使用的 Amazon Web Services 服务委派管理员

我们建议您将 Amazon Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。此外,我们还建议您将所有的 Amazon 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。

许多与 Organizations 集成的 Amazon Web Services 服务可帮助您减少对管理账户的使用。这些服务允许您将一个或多个成员账户注册为管理员,用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的委托管理员。通过将成员账户注册为 Amazon 服务的委托管理员,您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。

在将账户注册为服务的委托管理员之前:

注意

要了解如何为某个服务启用委托管理员,请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。

授予委托管理员账户的权限

每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息,请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。

委托管理员账户还具有以下只读权限:

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

借助这些权限,您可以查看但不能更改下列控制台项目:

  • 组织结构、所有账户和 OU 以及组织策略

  • 成员资格

  • 所有账户和 OU。

  • 组织策略