管理账户、可信访问权限和委派管理员

管理账户（也称为 AWS 组织管理账户或组织管理账户）是独一无二的，不同于中的所有其他账户 AWS Organizations。创建 AWS 组织的是账户。通过此账户，您可以在 AWS 组织 AWS 账户 中创建、邀请其他现有账户加入 AWS 组织（两种类型均被视为成员账户）、从 AWS 组织中移除账户以及将 IAM 策略应用于 AWS 组织内的根账户或账户。 OUs

管理账户通过 SCPs、 RCPs和服务部署（例如 CloudTrail）部署通用安全防护栏，这将影响组织中的所有成员账户。 AWS 为了进一步限制管理账户中的权限，可以尽可能将这些权限委托给其他相应的账户，例如安全账户。

管理账户具有付款人账户的责任，并负责支付成员账户产生的所有费用。您无法切换 AWS 组织的管理帐户。一个 AWS 账户 人一次只能是一个 AWS 组织的成员。

由于管理账户的功能和影响范围，我们建议您限制对该账户的访问权限，并仅向需要权限的角色授予权限。可帮助您实现此目的的两个功能是可信访问权限和委派管理员。您可以使用可信访问权限来启用您指定的名为 AWS 服务 可信服务的可信服务，以代表您执行 AWS 组织及其账户中的任务。这涉及向信任服务授予权限，但不会以其他方式影响 IAM 用户或角色的权限。您可以使用可信访问权限来指定您希望受信任的服务代表您保留在 AWS 组织账户中的设置和配置详细信息。例如， AWS SRA 的组织管理账户部分说明了如何向 CloudTrail 服务授予可信访问权限，以便在 CloudTrail 组织中的所有账户中创建 AWS 组织跟踪。

有些 AWS 服务 支持中的委托管理员功能 AWS Organizations。使用此功能，兼容的服务可以将 AWS 组织中的 AWS成员帐户注册为该服务中 AWS 组织帐户的管理员。此功能为企业内的不同团队提供了灵活性，使他们能够根据自己的职责使用不同的账户来管理 AWS 服务 整个环境。 AWS SRA 中目前支持委托管理员 AWS 的安全服务包括 IAM 身份中心、、、亚马逊、IAM Access Analyzer AWS Config AWS Firewall Manager、Amazon Macie GuardDuty、云安全态势管理AWS Security Hub CSPM()、Amazon Detective AWS Security Hub 、Amazon Inspector、Amazon Inspector 和。 AWS Audit Manager AWS Systems Manager作为最佳实践， AWS SRA 强调使用委派管理员功能，我们将安全相关服务的管理委托给安全工具账户。