Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kapan harus menggunakan AWS Organizations
<a name="using-orgs"></a>

AWS Organizations adalah AWS layanan yang dapat Anda gunakan untuk mengelola Anda Akun AWS sebagai grup. Ini menyediakan fitur seperti penagihan konsolidasi, di mana semua tagihan akun Anda dikelompokkan bersama dan ditangani oleh satu pembayar. Anda juga dapat mengelola keamanan organisasi secara terpusat dengan menggunakan kontrol berbasis kebijakan. Untuk informasi selengkapnya AWS Organizations, lihat [Panduan AWS Organizations Pengguna](https://docs.aws.amazon.com/organizations/latest/userguide/).

**Akses tepercaya**

Ketika Anda menggunakan AWS Organizations untuk mengelola akun Anda sebagai grup, sebagian besar tugas administratif untuk organisasi hanya dapat dilakukan oleh *akun manajemen* organisasi. Secara default, ini hanya mencakup operasi yang terkait dengan pengelolaan organisasi itu sendiri. Anda dapat memperluas fungsionalitas tambahan ini ke AWS layanan lain dengan mengaktifkan *akses tepercaya* antara Organizations dan layanan tersebut. Akses tepercaya memberikan izin ke AWS layanan yang ditentukan untuk mengakses informasi tentang organisasi dan akun yang dikandungnya. Saat Anda mengaktifkan akses tepercaya untuk Manajemen Akun, layanan Manajemen Akun memberikan izin kepada Organisasi dan akun pengelolaannya untuk mengakses metadata, seperti informasi kontak utama atau alternatif, untuk semua akun anggota organisasi. 

Untuk informasi selengkapnya, lihat [Aktifkan akses tepercaya untuk Manajemen AWS Akun](using-orgs-trusted-access.md).

**Admin yang didelegasikan**

Setelah mengaktifkan akses tepercaya, Anda juga dapat memilih untuk menetapkan salah satu akun anggota Anda sebagai akun *admin yang didelegasikan* untuk Manajemen AWS Akun. Hal ini memungkinkan akun admin yang didelegasikan untuk melakukan tugas pengelolaan metadata Manajemen Akun yang sama untuk akun anggota di organisasi Anda yang sebelumnya hanya dapat dilakukan oleh akun manajemen. Akun admin yang didelegasikan hanya dapat mengakses tugas manajemen untuk layanan Manajemen Akun. Akun admin yang didelegasikan tidak memiliki semua akses administratif ke organisasi yang dimiliki akun manajemen.

Untuk informasi selengkapnya, lihat [Mengaktifkan akun admin yang didelegasikan untuk Manajemen AWS Akun](using-orgs-delegated-admin.md).

**Kebijakan kontrol layanan**

Ketika Anda Akun AWS adalah bagian dari organisasi yang dikelola oleh AWS Organizations, maka administrator organisasi dapat menerapkan [kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) yang dapat membatasi apa yang dapat dilakukan oleh prinsipal di akun anggota. SCP tidak pernah memberikan izin; sebaliknya, ini adalah filter yang membatasi izin apa yang dapat digunakan oleh akun anggota. Pengguna atau peran (*prinsipal*) dalam akun anggota hanya dapat melakukan operasi yang berada di persimpangan apa yang diizinkan oleh SCPs yang berlaku untuk akun dan kebijakan izin IAM yang dilampirkan pada kepala sekolah. Misalnya, Anda dapat menggunakan SCPs untuk mencegah prinsipal dalam akun memodifikasi kontak alternatif akun mereka sendiri.

Misalnya SCPs yang berlaku untuk Akun AWS, lihat[Batasi akses menggunakan kebijakan kontrol AWS Organizations layanan](using-orgs-example-scps.md).

# Aktifkan akses tepercaya untuk Manajemen AWS Akun
<a name="using-orgs-trusted-access"></a>

Mengaktifkan akses tepercaya untuk Manajemen AWS Akun memungkinkan administrator akun manajemen untuk mengubah informasi dan metadata (misalnya, detail kontak primer atau alternatif) khusus untuk setiap akun anggota. AWS Organizations Untuk informasi selengkapnya, lihat [Manajemen AWS Akun dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account) di *Panduan AWS Organizations Pengguna*. Untuk informasi umum tentang cara kerja akses tepercaya, lihat [Menggunakan AWS Organizations dengan AWS layanan lain](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).

Setelah akses tepercaya diaktifkan, Anda dapat menggunakan `accountID` parameter dalam [operasi API Manajemen Akun](API_Operations.md) yang mendukungnya. Anda dapat menggunakan parameter ini dengan sukses hanya jika Anda memanggil operasi menggunakan kredensi dari akun manajemen, atau dari akun admin yang didelegasikan untuk organisasi Anda jika Anda mengaktifkannya. Untuk informasi selengkapnya, lihat [Mengaktifkan akun admin yang didelegasikan untuk Manajemen AWS Akun](using-orgs-delegated-admin.md).

Gunakan prosedur berikut untuk mengaktifkan akses tepercaya untuk Manajemen Akun di organisasi Anda.

**Izin minimum**  
Untuk melakukan tugas-tugas ini, Anda harus memenuhi persyaratan berikut:  
Anda dapat melakukan ini hanya dari akun manajemen organisasi.
Organisasi Anda harus [mengaktifkan semua fitur](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).

------
#### [ Konsol Manajemen AWS ]

**Untuk mengaktifkan akses tepercaya untuk Manajemen AWS Akun**

1. Masuklah ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root (tidak direkomendasikan) di akun pengelolaan organisasi.

1. Pilih **Layanan** di panel navigasi.

1. Pilih **Manajemen AWS Akun** dalam daftar layanan.

1. Pilih **Aktifkan akses terpercaya**.

1. Di kotak dialog **Aktifkan akses tepercaya untuk Manajemen AWS Akun**, ketik **aktifkan** untuk mengonfirmasinya, lalu pilih **Aktifkan akses tepercaya**.

------
#### [ AWS CLI & SDKs ]

**Untuk mengaktifkan akses tepercaya untuk Manajemen AWS Akun**  
Setelah menjalankan perintah berikut, Anda dapat menggunakan kredensi dari akun manajemen organisasi untuk memanggil operasi API Manajemen Akun yang menggunakan `--accountId` parameter untuk mereferensikan akun anggota dalam organisasi.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Contoh berikut memungkinkan akses tepercaya untuk Manajemen AWS Akun di organisasi akun panggilan.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  Perintah ini tidak menghasilkan output jika berhasil.

------

# Mengaktifkan akun admin yang didelegasikan untuk Manajemen AWS Akun
<a name="using-orgs-delegated-admin"></a>

Anda mengaktifkan akun admin yang didelegasikan sehingga Anda dapat memanggil operasi API Manajemen AWS Akun untuk akun anggota lainnya. AWS Organizations Setelah Anda mendaftarkan akun admin yang didelegasikan untuk organisasi Anda, pengguna dan peran di akun tersebut dapat memanggil operasi AWS CLI dan AWS SDK di `account` namespace yang dapat berfungsi dalam mode Organizations dengan mendukung parameter opsional. `AccountId`

Untuk mendaftarkan akun anggota di organisasi Anda sebagai akun admin yang didelegasikan, gunakan prosedur berikut.

------
#### [ AWS CLI & SDKs ]

**Untuk mendaftarkan akun admin yang didelegasikan untuk layanan Manajemen Akun**  
Anda dapat menggunakan perintah berikut untuk mengaktifkan admin yang didelegasikan untuk layanan Manajemen Akun.

**Izin minimum**  
Untuk melakukan tugas-tugas ini, Anda harus memenuhi persyaratan berikut:  
Anda dapat melakukan ini hanya dari akun manajemen organisasi.
Organisasi Anda harus [mengaktifkan semua fitur](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
Anda harus [mengaktifkan akses tepercaya untuk Manajemen Akun di organisasi Anda](using-orgs-trusted-access.md).

Anda harus menentukan prinsip layanan berikut:

```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  Contoh berikut mendaftarkan akun anggota organisasi sebagai admin yang didelegasikan untuk layanan Manajemen Akun. 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```

  Perintah ini tidak menghasilkan output jika berhasil.

  Setelah menjalankan perintah ini, Anda dapat menggunakan kredensional dari akun 123456789012 untuk memanggil Manajemen Akun AWS CLI dan operasi SDK API yang menggunakan `--account-id` parameter untuk mereferensikan akun anggota di organisasi.

------
#### [ Konsol Manajemen AWS ]

Tugas ini tidak didukung di konsol manajemen manajemen AWS akun. Anda dapat melakukan tugas ini hanya dengan menggunakan AWS CLI atau operasi API dari salah satu AWS SDKs.

------

# Batasi akses menggunakan kebijakan kontrol AWS Organizations layanan
<a name="using-orgs-example-scps"></a>

Topik ini menyajikan contoh yang menunjukkan bagaimana Anda dapat menggunakan kebijakan kontrol layanan (SCPs) AWS Organizations untuk membatasi apa yang dapat dilakukan pengguna dan peran dalam akun di organisasi Anda. Untuk informasi selengkapnya tentang kebijakan kontrol layanan, lihat topik berikut di *Panduan AWS Organizations Pengguna*:
+ [Menciptakan SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [Melampirkan SCPs ke OUs dan akun](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [Strategi untuk SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [Sintaks kebijakan SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)

**Example Contoh 1: Mencegah akun memodifikasi kontak alternatif mereka sendiri**  
Contoh berikut menyangkal operasi `DeleteAlternateContact` API `PutAlternateContact` dan dipanggil oleh akun anggota mana pun dalam [mode akun mandiri](manage-acct-api-modes-of-operation.md). Ini mencegah setiap prinsipal di akun yang terpengaruh mengubah kontak alternatif mereka sendiri.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
```

**Example Contoh 2: Mencegah akun anggota mengubah kontak alternatif untuk akun anggota lain di organisasi**  
Contoh berikut menggeneralisasi `Resource` elemen ke “\$1”, yang berarti bahwa itu berlaku untuk [permintaan mode mandiri dan permintaan mode organisasi](manage-acct-api-modes-of-operation.md). Ini berarti bahwa bahkan akun admin yang didelegasikan untuk Manajemen Akun, jika SCP berlaku untuk itu, diblokir untuk mengubah kontak alternatif apa pun untuk akun apa pun di organisasi.     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
```

**Example Contoh 3: Mencegah akun anggota di OU memodifikasi kontak alternatifnya sendiri**  
Contoh SCP berikut mencakup kondisi yang membandingkan jalur organisasi akun dengan daftar dua. OUs Hal ini mengakibatkan pemblokiran prinsipal di akun apa pun di yang ditentukan OUs dari memodifikasi kontak alternatif mereka sendiri.