为 AWS 账户管理使用基于身份的策略 (IAM policy)

有关 AWS 账户和 IAM 用户的全面讨论，请参阅 IAM 用户指南中的什么是 IAM？。

有关如何能更新客户托管策略的说明，请参阅《IAM 用户指南》中的编辑 IAM 策略。

AWS 账户管理的操作策略

此表概述了允许访问账户设置的权限。有关使用这些权限的策略示例，请参阅适用于 AWS 账户管理的基于身份的策略示例。

要向 IAM 用户授予写入权限，使其能够访问 AWS 管理控制台的账户页面中的特定账户设置，则除了要用于修改设置的权限（或多个权限）之外，还必须允许 GetAccountInformation 权限。

权限名称	访问级别	描述
`account:ListRegions`	列表	授予权限以列出可用区域。
`account:GetAccountInformation`	读取	授予检索账户信息的权限。
`account:GetAlternateContact`	读取	授予权限以检索账户的备用联系人。
`account:GetContactInformation`	读取	授予权限以检索账户的主要联系人信息。
`account:GetPrimaryEmail`	读取	授予权限以检索账户的主电子邮件地址。
`account:GetRegionOptStatus`	读取	授予获取区域的加入状态的权限。
`account:AcceptPrimaryEmailUpdate`	写入	授予接受 AWS 组织中成员账户的主要电子邮件地址更新的权限。
`account:CloseAccount`	写入	授予关闭账户的权限。注意此权限仅适用于控制台。此权限不支持 API 访问。
`account:DeleteAlternateContact`	写入	授予权限以删除账户的备用联系人。
`account:DisableRegion`	写入	授予权限以禁用使用区域。
`account:EnableRegion`	写入	授予权限以启用使用区域。
`account:PutAccountName`	写入	授予权限以更新账户的名称。
`account:PutAlternateContact`	写入	授予权限以修改账户的备用联系人。
`account:PutContactInformation`	写入	授予权限以更新账户的主要联系人信息。
`account:StartPrimaryEmailUpdate`	写入	授予发起 AWS 组织中成员账户的主要电子邮件地址更新的权限。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基于身份的策略示例

故障排除