本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用時機 AWS Organizations
AWS Organizations 是一項 AWS 服務,可讓您以群組 AWS 帳戶 身分管理 。這提供合併帳單等功能,其中您帳戶的所有帳單都會分組在一起,並由單一付款人處理。您也可以使用以政策為基礎的控制項,集中管理組織的安全性。如需 的詳細資訊 AWS Organizations,請參閱[AWS Organizations 《 使用者指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**受信任的存取權**
當您使用 AWS Organizations 以群組形式管理帳戶時,組織的大多數管理任務只能由組織的*管理帳戶*執行。根據預設,這只包含與管理組織本身相關的操作。您可以透過啟用 Organizations 與該 AWS 服務之間的*受信任存取*,將此額外功能擴展到其他服務。受信任存取會授予指定 AWS 服務的許可,以存取組織及其包含的帳戶的相關資訊。當您啟用 Account Management 的受信任存取時,帳戶管理服務會授予 Organizations 及其管理帳戶存取所有組織成員帳戶的中繼資料的許可,例如主要或替代聯絡資訊。
如需詳細資訊,請參閱[啟用 AWS 帳戶管理的受信任存取](using-orgs-trusted-access.md)。
**委派管理員**
啟用受信任存取後,您也可以選擇將其中一個成員帳戶指定為 AWS 帳戶管理的*委派管理員*帳戶。這可讓委派的管理員帳戶為您組織中的成員帳戶執行先前只有管理帳戶可以執行的相同帳戶管理中繼資料管理任務。委派的管理員帳戶只能存取帳戶管理服務的管理任務。委派的管理員帳戶沒有管理帳戶對組織的所有管理存取權。
如需詳細資訊,請參閱[啟用 AWS 帳戶管理的委派管理員帳戶](using-orgs-delegated-admin.md)。
**服務控制政策**
當您 AWS 帳戶 是 管理的組織的一部分時 AWS Organizations,組織的管理員可以套用[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html),以限制成員帳戶中的主體可以執行的操作。SCP 永遠不會授予許可;而是會限制成員帳戶可以使用哪些許可的篩選條件。成員帳戶中的使用者或角色 (*委託*人) 只能執行與套用至帳戶的 SCPs 和連接至委託人的 IAM 許可政策相交的操作。例如,您可以使用 SCPs 來防止帳戶中的任何委託人修改其帳戶的替代聯絡人。
如需適用於 SCPs 範例 AWS 帳戶,請參閱 [使用 AWS Organizations 服務控制政策限制存取](using-orgs-example-scps.md)。
# 啟用 AWS 帳戶管理的受信任存取
啟用 AWS Account Management 的受信任存取可讓管理帳戶的管理員修改每個成員帳戶的特定資訊和中繼資料 (例如,主要或替代聯絡人詳細資訊) AWS Organizations。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[AWS 帳戶管理和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account) 。如需受信任存取如何運作的一般資訊,請參閱[搭配使用 AWS OrganizationsAWS 與其他 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
啟用受信任存取後,您可以在支援它的[帳戶管理 API 操作](API_Operations.md)中使用 `accountID` 參數。只有在使用來自管理帳戶的登入資料呼叫 操作,或啟用組織的委派管理員帳戶時,才能成功使用此參數。如需詳細資訊,請參閱[啟用 AWS 帳戶管理的委派管理員帳戶](using-orgs-delegated-admin.md)。
使用下列程序為組織中的帳戶管理啟用受信任存取。
**最低許可**
若要執行這些任務,您必須符合下列要求:
您只能從組織的管理帳戶執行此操作。
您的組織必須[啟用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
------
#### [ AWS 管理主控台 ]
**啟用 AWS Account Management 的受信任存取**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
1. 在導覽窗格中選擇**服務**。
1. 在服務清單中選擇**AWS 帳戶管理**。
1. 選擇 **Enable trusted access (啟用信任存取)**。
1. 在**啟用 AWS 受信任存取帳戶管理**對話方塊中,輸入**啟用**以確認,然後選擇**啟用受信任存取**。
------
#### [ AWS CLI & SDKs ]
**啟用 AWS Account Management 的受信任存取**
執行下列命令後,您可以使用組織的管理帳戶中的登入資料來呼叫 Account Management API 操作,這些操作使用 `--accountId` 參數來參考組織中的成員帳戶。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
下列範例會啟用呼叫 AWS 帳戶組織中帳戶管理的受信任存取。
```
$ aws organizations enable-aws-service-access \
--service-principal account.amazonaws.com
```
此命令如果成功就不會產生輸出。
------
# 啟用 AWS 帳戶管理的委派管理員帳戶
您可以啟用委派的管理員帳戶,以便為其他成員帳戶呼叫 AWS 帳戶管理 API 操作 AWS Organizations。在您為組織註冊委派管理員帳戶之後,該帳戶中的使用者和角色可以透過支援選用`AccountId`參數,在 Organizations 模式中運作的`account`命名空間中呼叫 AWS CLI 和 AWS SDK 操作。
若要將組織中的成員帳戶註冊為委派管理員帳戶,請使用下列程序。
------
#### [ AWS CLI & SDKs ]
**註冊帳戶管理服務的委派管理員帳戶**
您可以使用下列命令來啟用帳戶管理服務的委派管理員。
**最低許可**
若要執行這些任務,您必須符合下列要求:
您只能從組織的管理帳戶執行此操作。
您的組織必須[啟用所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
您必須為[組織中的帳戶管理啟用受信任存取](using-orgs-trusted-access.md)。
您必須指定下列服務主體:
```
account.amazonaws.com
```
+ AWS CLI:[register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)
下列範例會將組織的成員帳戶註冊為帳戶管理服務的委派管理員。
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal account.amazonaws.com
```
此命令如果成功就不會產生輸出。
執行此命令之後,您可以使用帳戶 123456789012 的登入資料來呼叫帳戶管理和 AWS CLI SDK API 操作,這些操作使用 `--account-id` 參數來參考組織中的成員帳戶。
------
#### [ AWS 管理主控台 ]
AWS Account Management 管理主控台不支援此任務。您只能使用其中一個 AWS SDKs的 AWS CLI 或 API 操作來執行此任務。
------
# 使用 AWS Organizations 服務控制政策限制存取
本主題提供範例,示範如何在 中使用服務控制政策 (SCPs) AWS Organizations 來限制組織中帳戶中的使用者和角色可執行的操作。如需服務控制政策的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的下列主題:
+ [建立 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [將 SCPs 連接至 OUs和帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [SCPs 的策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [SCP 政策語法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
**Example 範例 1:防止帳戶修改自己的替代聯絡人**
下列範例會拒絕任何成員帳戶在[獨立帳戶模式下](manage-acct-api-modes-of-operation.md)呼叫 `PutAlternateContact`和 `DeleteAlternateContact` API 操作。這可防止受影響帳戶中的任何主體變更自己的替代聯絡人。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "arn:aws:account::*:account" ]
}
]
}
```
**Example 範例 2:防止任何成員帳戶修改組織中任何其他成員帳戶的替代聯絡人**
下列範例會將 `Resource`元素一般化為「\$1」,這表示它同時適用於[獨立模式請求和組織模式請求](manage-acct-api-modes-of-operation.md)。這表示即使帳戶管理的委派管理員帳戶適用,如果 SCP 也無法變更組織中任何帳戶的任何替代聯絡人。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"account:PutAlternateContact",
"account:DeleteAlternateContact"
],
"Resource": [ "*" ]
}
]
}
```
**Example 範例 3:防止 OU 中的成員帳戶修改自己的替代聯絡人**
下列範例 SCP 包含的條件會將帳戶的組織路徑與兩個 OUs 的清單進行比較。這會導致封鎖指定 OUs 中任何帳戶中的委託人修改自己的替代聯絡人。