与 Organizations 配合使用的 Amazon Web Services 服务委派管理员
我们建议您将 Amazon Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。此外,我们还建议您将所有的 Amazon 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。
许多与 Organizations 集成的 Amazon Web Services 服务可帮助您减少对管理账户的使用。这些服务允许您将一个或多个成员账户注册为管理员,用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的委托管理员。通过将成员账户注册为 Amazon 服务的委托管理员,您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。
在将账户注册为服务的委托管理员之前:
确认该服务支持委托管理员。请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务 中的表格,了解哪些服务支持委托管理员。
为该服务启用可信访问。
注意
要了解如何为某个服务启用委托管理员,请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
授予委托管理员账户的权限
每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息,请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
委托管理员账户还具有以下只读权限:
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
借助这些权限,您可以查看但不能更改下列控制台项目:
组织结构、所有账户和 OU 以及组织策略
成员资格
所有账户和 OU。
组织策略