本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 委托管理员与 Org AWS 服务 anizations 合作
<a name="orgs_integrate_delegated_admin"></a>

我们建议您仅将 AWS Organizations 管理账户及其用户和角色用于必须由该账户执行的任务。我们还建议您将 AWS 资源存储在组织中的其他成员账户中，并防止这些资源进入管理账户。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。

许多 AWS 服务 与 Organizations 集成的功能使您能够减少管理帐户的使用量。这些服务允许您将一个或多个成员账户注册为管理员，用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的*委托管理员*。通过将成员账户注册为 AWS 服务的委托管理员，您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。

在将账户注册为服务的委托管理员之前：
+ 确认该服务支持委托管理员。请参阅 [AWS 服务 你可以和它一起使用 AWS Organizations](orgs_integrate_services_list.md) 中的表格，了解哪些服务支持委托管理员。
+ 为该服务启用可信访问。

**注意**  
要了解如何为某个服务启用委托管理员，请参阅 [AWS 服务 你可以和它一起使用 AWS Organizations](orgs_integrate_services_list.md) 中的表格，然后在该服务的**支持委托管理员**列中选择**了解详情**链接。

## 授予委托管理员账户的权限
<a name="integrate_delegated_admin-permissions"></a>

每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息，请参阅 [AWS 服务 你可以和它一起使用 AWS Organizations](orgs_integrate_services_list.md) 中的表格，然后在该服务的**支持委托管理员**列中选择**了解详情**链接。

委托管理员账户还具有以下只读权限：
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`

借助这些权限，您可以查看但不能更改下列控制台项目：
+ 组织结构、所有账户和 OUs组织政策
+ 成员资格
+ 所有账户和 OUs.
+ 组织策略