本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 與 Organizations 搭配使用 AWS 服務 的 委派管理員
<a name="orgs_integrate_delegated_admin"></a>

我們建議您僅將 AWS Organizations 管理帳戶及其使用者和角色用於必須由該帳戶執行的任務。我們也建議您將 AWS 資源存放在組織中的其他成員帳戶中，並將其保存在管理帳戶中。這是因為安全性功能 (例如 Organizations 服務控制政策 (SCP)) 不會限制管理帳戶中的使用者或角色。將資源與管理帳戶分開，也可協助您瞭解發票上的費用。

許多 與 Organizations AWS 服務 整合可讓您減少管理帳戶的用量。這些服務可讓您將一或多個成員帳戶註冊為管理員，以管理服務中使用的所有組織帳戶。這些帳戶稱為該特定服務的*委派管理員*。透過將成員帳戶註冊為 AWS 服務的委派管理員，您可以讓該帳戶擁有該服務的某些管理權限，以及 Organizations 唯讀動作的權限。

在您將帳戶註冊為服務的委派管理員之前：
+ 確認該服務支援委派管理員。請參閱 [AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md) 的表格，瞭解哪些服務支援委派管理員。
+ 為該服務啟用受信任存取。

**注意**  
若要瞭解如何為委派管理員啟用服務，請參閱 [AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md) 中的表格，並在該服務的**支援委派管理員**直欄中，選取**瞭解更多**連結。

## 授與委派管理員帳戶的權限
<a name="integrate_delegated_admin-permissions"></a>

每個服務特定的委派管理員帳戶都有該服務授與的權限。若要瞭解更多，請參閱 [AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md) 中的表格，並在該服務的**支援委派管理員**直欄中，選取**瞭解更多**連結。

委派管理員帳戶也具有下列唯讀權限：
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`

這些權限可讓您檢視 (但不能變更) 這些主控台項目：
+ 組織結構、所有帳戶與 OU，以及組織政策
+ 成員資格
+ 所有帳戶和 OU。
+ 組織政策