何时使用 AWS Organizations

AWS Organizations 是一项 AWS 服务，可用于分组管理 AWS 账户。这提供了类似于账单整合的功能，即所有账户的账单都归为一组，并由单一付款人处理。您还可以使用基于策略的控制来集中管理组织的安全。有关 AWS Organizations 的更多信息，请参阅 AWS Organizations 用户指南。

可信访问权限

当使用 AWS Organizations 分组管理账户时，组织的大部分管理任务只能由组织的管理账户来执行。默认情况下，这只包括与组织自身管理相关的操作。您可以通过启用 Organizations 和其他 AWS 服务之间的可信访问权限来将此附加功能扩展到此种服务。可信访问权限向指定 AWS 服务授予访问组织及其所含账户相关信息的权限。当启用账户管理可信访问权限时，账户管理服务会授予 Organizations 及其管理账户访问组织所有成员账户的元数据（比如主要或备用联系人信息）的权限。

有关更多信息，请参阅启用 AWS 账户管理可信访问权限。

委托管理员

启用可信访问权限后，还可以选择将其中一个成员账户指定为 AWS 账户管理的委托管理员账户。这样，委托管理员账户就可以为组织中的成员账户执行账户管理元数据的管理任务，而以前只有管理账户才能执行此种任务。委托管理员账户只能访问账户管理服务的管理任务。委托管理员账户不像管理账户那样拥有对组织的所有管理权限。

有关更多信息，请参阅 为 AWS 账户管理功能启用委托管理员账户。

服务控制策略

如果您的 AWS 账户属于由 AWS Organizations 管理的组织，则组织的管理员可以应用服务控制策略 (SCP)，以限制成员账户主体可以执行的操作。SCP 从不授予权限；相反，它是一个限制成员账户可使用权限的过滤器。成员账户中的用户或角色（主体）只能执行适用于该账户的 SCP 和附加到主体的 IAM 权限策略允许的交叉操作。例如，可以使用 SCP 来防止账户中的任何主体修改其账户的备用联系人。

有关适用于 AWS 账户的 SCP 示例，请参阅使用 AWS Organizations 服务控制策略限制访问。