本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 何时使用 AWS Organizations
AWS Organizations 是一项可用于 AWS 账户 作为一个小组进行管理的 AWS 服务。这提供了类似于账单整合的功能,即所有账户的账单都归为一组,并由单一付款人处理。您还可以使用基于策略的控制来集中管理组织的安全。有关的更多信息 AWS Organizations,请参阅《[AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**可信访问权限**
当您 AWS Organizations 使用群组管理账户时,组织的大多数管理任务只能由该组织的*管理帐户*执行。默认情况下,这只包括与组织自身管理相关的操作。您可以通过启用 Organizations 与该 AWS 服务之间的*可信访问*来将此附加功能扩展到其他服务。Trusted acces AWS s 向指定服务授予访问有关组织及其所含账户信息的权限。当启用账户管理可信访问权限时,账户管理服务会授予 Organizations 及其管理账户访问组织所有成员账户的元数据(比如主要或备用联系人信息)的权限。
有关更多信息,请参阅[为 AWS 账户管理启用可信访问权限](using-orgs-trusted-access.md)。
**委托管理员**
启用可信访问权限后,您还可以选择将您的一个成员账户指定为账户管理的*委托管理员* AWS 账户。这样,委托管理员账户就可以为组织中的成员账户执行账户管理元数据的管理任务,而以前只有管理账户才能执行此种任务。委托管理员账户只能访问账户管理服务的管理任务。委托管理员账户不像管理账户那样拥有对组织的所有管理权限。
有关更多信息,请参阅 [为账户管理启用委托管理员 AWS 账户](using-orgs-delegated-admin.md)。
**服务控制策略**
如果您属于 AWS 账户 由管理的组织 AWS Organizations,则该组织的管理员可以应用[服务控制策略 (SCPs),该策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)可以限制成员账户中的委托人可以执行的操作。SCP 从不授予权限;相反,它是一个限制成员账户可使用权限的过滤器。成员账户中的用户或角色(*委托人*)只能执行那些与适用于 SCPs 该账户的允许的操作和附加到委托人的 IAM 权限策略交叉的操作。例如,您可以使用 SCPs 防止账户中的任何委托人修改自己账户的备用联系人。
有关适用于 SCPs 的示例 AWS 账户,请参阅[使用 AWS Organizations 服务控制策略限制访问](using-orgs-example-scps.md)。
# 为 AWS 账户管理启用可信访问权限
为 AWS 账户管理启用可信访问权限允许管理账户的管理员修改中每个成员账户的特定信息和元数据(例如,主要或备用联系方式) AWS Organizations。有关更多信息,请参阅*《AWS Organizations 用户指南》*中的 [AWS 账户管理 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)。有关可信访问工作原理的一般信息,请参阅[与其他 AWS 服务 AWS Organizations 一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
启用可信访问权限后,可以在支持 `accountID` 参数的[账户管理 API 操作](API_Operations.md)中使用该参数。只有在使用来自管理账号或组织的委托管理员账号(如果启用)的凭证调用该操作时,才能成功使用此参数。有关更多信息,请参阅[为账户管理启用委托管理员 AWS 账户](using-orgs-delegated-admin.md)。
请按照以下步骤在组织中启用账户管理的可信访问权限。
**最小权限**
要执行这些任务,您必须满足以下要求:
只能从组织的管理账户执行此操作。
您的组织必须[已启用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
------
#### [ AWS 管理控制台 ]
**为 AWS 账户管理启用可信访问权限**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
1. 在导航窗格中,选择**服务**。
1. 在服务列表中选择**AWS 账户管理**。
1. 选择 **Enable trusted access (启用可信访问)**。
1. 在 “**为 AWS 账户管理启用可信访问**” 对话框中,键入 **enab** le 进行确认,然后选择 “**启用可信访问**”。
------
#### [ AWS CLI & SDKs ]
**为 AWS 账户管理启用可信访问权限**
运行以下命令后,就可以使用组织管理账户中的凭证调用账户管理 API 操作,这些操作使用 `--accountId` 参数来引用组织中的成员账户。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
以下示例为主叫账户的组织中的 AWS 账户管理启用可信访问权限。
```
$ aws organizations enable-aws-service-access \
--service-principal account.amazonaws.com
```
如果成功,此命令不会产生任何输出。
------
# 为账户管理启用委托管理员 AWS 账户
您可以启用委托管理员账户,以便可以在中为其他成员 AWS 账户调用账户管理 API 操作 AWS Organizations。为组织注册委托管理员账户后,该账户中的用户和角色可以通过支持可选`AccountId`参数在`account`命名空间中调用 AWS CLI 和 AWS SDK 操作,这些操作可以在组织模式下运行。
要将组织中的成员账户注册为委托管理员账户,请按照以下步骤操作。
------
#### [ AWS CLI & SDKs ]
**为账户管理服务注册委托管理员账户**
您可以使用以下命令,为账户管理服务启用委托管理员。
**最小权限**
要执行这些任务,您必须满足以下要求:
只能从组织的管理账户执行此操作。
您的组织必须[已启用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
您必须[已经在组织中启用了账户管理的可信访问权限](using-orgs-trusted-access.md)。
您必须指定以下服务主体:
```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)
以下示例将组织的成员账户注册为适用于账户管理服务的委托管理员。
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal account.amazonaws.com
```
如果成功,此命令不会产生任何输出。
运行此命令后,您可以使用账户 123456789012 中的凭据调用账户管理 AWS CLI 和 SDK API 操作,这些操作使用`--account-id`参数来引用组织中的成员账户。
------
#### [ AWS 管理控制台 ]
AWS 账户管理管理控制台不支持此任务。您只能通过使用其中一个中的 AWS CLI 或 API 操作来执行此任务 AWS SDKs。
------
# 使用 AWS Organizations 服务控制策略限制访问
本主题提供了一些示例,说明如何使用中的服务控制策略 (SCPs) AWS Organizations 来限制组织中账户中的用户和角色可以执行的操作。有关服务控制策略的更多信息,请参阅*《AWS Organizations 用户指南》*中的以下主题:
+ [正在创建 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [附加 SCPs 到 OUs和账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [的策略 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [SCP 策略语法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
**Example 示例 1:阻止账户修改其备用联系人**
以下示例拒绝任何成员账户在[独立账户模式](manage-acct-api-modes-of-operation.md)下调用 `PutAlternateContact` 和 `DeleteAlternateContact` API 操作。这可以防止受影响账户中的任何主体更改其备用联系人。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "arn:aws:account::*:account" ]
}
]
}
```
**Example 示例 2:阻止任何成员账户修改组织中其他任何成员账户的备用联系人**
以下示例以“\$1”概括 `Resource` 元素,这意味着该元素同时适用于[独立模式请求和组织模式请求](manage-acct-api-modes-of-operation.md)。这意味着,即使是账户管理的委托管理员账户(如果 SCP 适用于此账户),也无法更改组织中任何账户的任何备用联系人。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "*" ]
}
]
}
```
**Example 示例 3:阻止 OU 中的成员账户修改其备用联系人**
以下示例 SCP 包含一个条件,用于将账户的组织路径与两个 OUs组织路径进行比较。这会导致禁止指定 OUs 账户中任何账户的委托人修改自己的备用联系人。