本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委托管理员与 Org Amazon Web Services 服务 anizations 合作
我们建议您仅将 Amazon Organizations 管理账户及其用户和角色用于必须由该账户执行的任务。我们还建议您将 Amazon 资源存储在组织中的其他成员账户中,并防止这些资源进入管理账户。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。
许多 Amazon Web Services 服务 与 Organizations 集成的功能使您能够减少管理帐户的使用量。这些服务允许您将一个或多个成员账户注册为管理员,用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的委托管理员。通过将成员账户注册为 Amazon 服务的委托管理员,您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。
在将账户注册为服务的委托管理员之前:
确认该服务支持委托管理员。请参阅 Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations 中的表格,了解哪些服务支持委托管理员。
为该服务启用可信访问。
注意
要了解如何为某个服务启用委托管理员,请参阅 Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
授予委托管理员账户的权限
每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息,请参阅 Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
委托管理员账户还具有以下只读权限:
DescribeAccountDescribeCreateAccountStatusDescribeEffectivePolicyDescribeHandshakeDescribeOrganizationDescribeOrganizationalUnitDescribePolicyDescribeResourcePolicyListAccountsListAccountsForParentListAWSServiceAccessForOrganizationListChildrenListCreateAccountStatusListDelegatedAdministratorsListDelegatedServicesForAccountListHandshakesForAccountListHandshakesForOrganizationListOrganizationalUnitsForParentListParentsListPoliciesListPoliciesForTargetListRootsListTagsForResourceListTargetsForPolicy
借助这些权限,您可以查看但不能更改下列控制台项目:
组织结构、所有账户和 OUs组织政策
成员资格
所有账户和 OUs.
组织策略