本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 服務 您可以搭配 使用 AWS Organizations
<a name="orgs_integrate_services_list"></a>

透過 AWS Organizations ，您可以將多個 合併 AWS 帳戶 為單一組織，大規模執行帳戶管理活動。合併帳戶可簡化您使用其他 的方式 AWS 服務。您可以使用 中的多帳戶管理服務 AWS Organizations 搭配 select AWS 服務 ，對組織成員的所有帳戶執行任務。

下表列出 AWS 服務 您可以與 搭配使用的 AWS Organizations，以及在全組織層級使用每個 服務的好處。

**受信任的存取** – 您可以啟用相容的 AWS 服務，以跨 AWS 帳戶 組織中的所有 執行操作。如需詳細資訊，請參閱[AWS Organizations 搭配其他 使用 AWS 服務](orgs_integrate_services.md)。

**的委派管理員 AWS 服務** – 相容 AWS 服務可以將組織中 AWS 的成員帳戶註冊為該服務中組織帳戶的管理員。如需詳細資訊，請參閱[與 Organizations 搭配使用 AWS 服務 的 委派管理員](orgs_integrate_delegated_admin.md)。


****  

| AWS 服務 | 搭配 使用 的優點 AWS Organizations | 支援受信任存取 | 支援委派的管理員 | 
| --- | --- | --- | --- | 
|   [AWS 帳戶管理](services-that-can-integrate-account.md)  管理 AWS 帳戶 組織所有 的詳細資訊和中繼資料。  |  管理 AWS 帳戶 組織中所有 的帳戶詳細資訊、替代聯絡人和區域。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-account.md#integrate-enable-ta-account)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-account.md#integrate-enable-da-account)   | 
|   [AWS Application Migration Service](services-that-can-integrate-application-migration.md)  AWS Application Migration Service 可讓公司在無相容性問題、效能中斷或長切換時段的情況下，提升lift-and-shift AWS 大量實體、虛擬或雲端伺服器。  |  您可以管理跨多個帳戶的大規模遷移。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-application-migration.md#integrate-enable-ta-application-migration)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-application-migration.md#integrate-enable-da-application-migration)   | 
|   [AWS Artifact](services-that-can-integrate-artifact.md)  下載 AWS 安全合規報告，例如 ISO 和 PCI 報告。  |  可以代表組織中的所有成員帳戶接受協議。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-artifact.md#integrate-enable-ta-artifact)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS Audit Manager](services-that-can-integrate-audit-manager.md)  自動化持續收集證據，協助您稽核雲端服務的使用情況。  |  持續稽核組織中多個帳戶的 AWS 使用情形，以簡化您評估風險與合規的方式。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-audit-manager.md#integrate-enable-ta-audit-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-audit-manager.md#integrate-enable-da-audit-manager)   | 
|   [AWS Backup](services-that-can-integrate-backup.md)  管理及監視組織中所有帳戶的備份。  |  您可以為整個組織或組織單位 (OU) 中的帳戶群組設定及管理備份計劃。您可以集中監視所有帳戶的備份。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-backup.md#integrate-enable-ta-backup)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)  | 
|  [AWS 帳單與成本管理](services-that-can-integrate-awsaccountbilling.md)  提供 AWS 雲端財務管理資料的概觀，並協助您更快、更明智地做出決策。  |  如果適用，允許分割成本分配資料擷取 AWS Organizations 資訊，並針對您已選擇使用的分割成本分配資料服務收集遙測資料。 如需詳細資訊，請參閱 *Billing and Cost Management 使用者指南*中的[什麼是 AWS 帳單與成本管理？](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-awsaccountbilling.md)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS CloudFormation Stacksets](services-that-can-integrate-cloudformation.md)  以單一操作建立、更新或刪除跨多個帳戶與區域的堆疊。  |  管理帳戶或委派管理員帳戶中的使用者可以建立具有服務受管許可的堆疊集，將堆疊執行個體部署至組織中的帳戶。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudformation.md#integrate-enable-ta-cloudformation)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudformation.md#integrate-enable-da-cloudformation)   | 
|   [AWS CloudTrail](services-that-can-integrate-cloudtrail.md)  針對帳戶啟用監管、合規、操作和風險稽核。  |  管理帳戶或委派管理員帳戶中的使用者可以建立組織追蹤或事件資料存放區，其中會記錄組織中所有成員帳戶的所有事件。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudtrail.md#integrate-enable-ta-cloudtrail)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudtrail.md#integrate-enable-da-cloudtrail)   | 
|   [Amazon CloudWatch](services-that-can-integrate-cloudwatch.md)   AWS 即時監控您的 AWS 資源和您在 上執行的應用程式。您可以使用 CloudWatch 來收集和追蹤指標，這些指標是您可以針對資源和應用程式測量的變數。  |  與 Organizations 整合在 CloudWatch 中有兩個好處。首先，透過與 Organizations 整合，您可以使用 CloudWatch 從 CloudWatch 主控台的中央檢視探索和了解 AWS 資源的遙測組態狀態。 其次，當您可以在 CloudWatch 中使用網路流量監視器來取得網路效能指標的可見性時，透過與 Organizations 整合，您可以檢視多個帳戶中資源的網路效能資訊，而不只是一個帳戶。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudwatch.md#integrate-enable-ta-cloudwatch)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-cloudwatch.md#integrate-enable-da-cloudwatch)   | 
|   [AWS Compute Optimizer](services-that-can-integrate-compute-optimizer.md)  取得 AWS 運算最佳化建議。  |  您可以分析您組織帳戶中的所有資源以獲得最佳化建議。 如需詳細資訊，請參閱*AWS Compute Optimizer 使用者指南*中的 [Compute Optimizer 支援的帳戶](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#supported-accounts)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-compute-optimizer.md#integrate-enable-ta-compute-optimizer)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-compute-optimizer.md#integrate-enable-da-compute-optimizer)   | 
|   [AWS Config](services-that-can-integrate-config.md)  評定、稽核和評估 AWS 資源的組態。  |  您可以取得整個組織的合規狀態檢視。您也可以使用 [AWS Config API 操作](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html)來管理組織中所有 AWS 帳戶 的 AWS Config 規則和一致性套件。 您可以使用委派的管理員帳戶，從 AWS Organizations中組織的所有成員帳戶彙總資源組態與合規資料。如需詳細資訊，請參閱 AWS Config 《開發人員指南》中的[註冊委派管理員](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-config.md#integrate-enable-ta-config)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  進一步了解：  [Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)   [一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html)   [多帳戶多區域資料彙整](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)   | 
|  [AWS Control Tower](services-that-can-integrate-CTower.md)  設定和管控安全、合規的多帳戶 AWS 環境。  |  您可以設定登陸區域，這是所有 AWS 資源的多帳戶環境。此環境包含組織和組織實體。您可以使用此環境，對所有 強制執行合規法規 AWS 帳戶。 如需詳細資訊，請參閱 *AWS Control Tower 使用者指南*中的 [如何 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html) 以及[透過 AWS Organizations管理帳戶](https://docs.aws.amazon.com/controltower/latest/userguide/organizations.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|  [AWS 成本最佳化中心](services-that-can-integrate-coh.md)  收集跨 AWS 最佳化產品的成本建議。  |  您可以輕鬆地識別、篩選和彙總 AWS Organizations 成員帳戶和 AWS 區域中 AWS 的成本最佳化建議。 如需詳細資訊，請參閱 [ Cost Optimization Hub ](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html) *使用者指南中的 Cost Optimization Hub*。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-coh.md#integrate-enable-ta-coh)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-coh.md#integrate-enable-da-coh)  | 
|  [Amazon Detective](services-that-can-integrate-detective.md)  從日誌資料產生視覺化效果，以便分析、調查並快速識別安全問題清單或可疑活動的根本原因。  |  您可以整合 Amazon Detective 與 AWS Organizations ，以確保您的 Detective 行為圖表可讓您了解所有組織帳戶的活動。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-detective.md#integrate-enable-ta-detective)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-detective.md#integrate-enable-da-detective)   | 
|  [Amazon DevOps Guru](services-that-can-integrate-devops.md)  分析營運資料和應用程式指標與事件，以識別與正常操作模式不同的行為。當 DevOps Guru 檢測到操作問題或風險時，會通知使用者。  |  您可以與 整合 AWS Organizations ，以管理整個組織中所有帳戶的洞見。您可以委派管理員檢視、排序和篩選來自所有帳戶的洞察，以取得所有受監控應用程式的組織範圍運作狀態。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-devops.md#integrate-enable-ta-devops)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-devops.md#integrate-enable-da-devops)   | 
|   [AWS Directory Service](services-that-can-integrate-directory-service.md)  在 AWS 雲端中設定和執行目錄，或將您的 AWS 資源與現有的內部部署 Microsoft Active Directory 連線。  |  您可以將 Directory Service 與 整合 AWS Organizations ，跨多個帳戶和區域中的任何 VPC 無縫共用目錄。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-directory-service.md#integrate-disable-ta-directory-service)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html)  AWS 即時監控您的 AWS 資源和您在 上執行的應用程式。  |  您可以啟用在組織中的所有 Amazon EventBridge Events、 先前的 Amazon CloudWatch Events 帳戶共享。 如需詳細資訊，請參閱《Amazon EventBridge 使用者指南**》中的[在 AWS 帳戶之間傳送和接收 Amazon EventBridge 事件](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html)。  |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [Amazon Elastic Compute Cloud](services-that-can-integrate-ec2.md)  Amazon VPC IP Address Manager (IPAM) 在 AWS 雲端中提供隨需、可擴展的運算容量。  |  讓 Organizations 管理員在使用宣告性政策功能時，建立其組織中帳戶現有組態的報告。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-ec2.md#integrate-enable-ta-ec2)  |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [EC2 容量管理員](services-that-can-integrate-ec2-capacity-manager.md)  EC2 Capacity Manager 會彙總，以檢視、分析和管理跨 EC2 隨需、Spot 和容量保留的容量使用量。  |  搭配 AWS Organization 整合使用 EC2 Capacity Manager 可讓您檢視、分析和管理整個組織的容量使用量。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-ta-ec2-capacity-manager)  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-ec2-capacity-manager.md#integrate-enable-da-ec2-capacity-manager)  | 
|   [Amazon Elastic Kubernetes Service](services-that-can-integrate-eks.md)  Amazon EKS 儀表板提供跨 AWS 雲端 Kubernetes 叢集的彙總可見性和管理。  |  讓 Organizations 管理員檢視叢集資源的合併儀表板資料，包括整個組織的版本分佈、運作狀態和升級需求。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-eks.md#integrate-enable-ta-eks)  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-eks.md#integrate-enable-da-eks)  | 
|   [AWS Firewall Manager](services-that-can-integrate-fms.md)  跨帳戶和應用程式，集中設定和管理 web 應用程式的防火牆規則。  |  您可以集中設定和管理組織中所有帳戶的 AWS WAF 規則。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-fms.md#integrate-enable-ta-fms)  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-fms.md#integrate-enable-da-fms)  | 
|   [Amazon GuardDuty](services-that-can-integrate-guardduty.md)  GuardDuty 是持續性的安全監控服務，可分析和處理來自各種資料來源的資訊。它使用威脅智慧饋送和機器學習) 以在您的 AWS 環境中識別意外和可能未經授權且惡意的活動。  |  您可以指定一個成員帳戶，代表組織中的所有帳戶來檢視和管理 GuardDuty。新增成員帳戶會自動為所選 中的這些帳戶啟用 GuardDuty AWS 區域。您也可以為新增至組織的帳戶自動啟用 GuardDuty。 如需詳細資訊，請參閱 *Amazon GuardDuty 使用者指南*中的 [GuardDuty 和 Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-guardduty.md#integrate-enable-ta-guardduty)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-guardduty.md#integrate-enable-da-guardduty)   | 
|   [AWS Health](services-that-can-integrate-health.md)  了解可能影響您的資源效能或可用性問題的事件 AWS 服務。  |  您可以在組織中跨帳戶彙總 AWS Health 事件。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-health.md#integrate-enable-ta-health)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-health.md#integrate-enable-da-health)   | 
|   [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/)  安全地控制對 AWS 資源的存取。  |  您可以在 IAM 中使用[上次存取的服務資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)，以協助您更好地了解整個組織的 AWS 活動。您可以使用此資料來建立和更新[服務控制政策 (SCP)](orgs_manage_policies_scps.md)，將存取限制在僅限您組織帳戶所用的 AWS 服務。 如需範例，請參閱 *IAM 使用者指南*中的[使用資料來精簡組織單位的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)中的 IAM 根存取管理可讓您集中管理根使用者憑證，並在成員帳戶上執行特權任務。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-iam.md#integrate-enable-ta-iam)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-iam.md#integrate-enable-da-iam)   | 
|   [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)  分析您 AWS 環境中以資源為基礎的政策，以識別授予您信任區域外委託人存取權的任何政策。  |  您可以將成員帳戶指定為 IAM Access Analyzer 的管理員。 如需詳細資訊，請參閱 *IAM 使用者指南*中的[啟用 Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-settings.html)   | 
|   [Amazon Inspector](services-that-can-integrate-inspector2.md)  自動掃描 AWS 工作負載是否有漏洞，以探索位於 Amazon ECR 中的 Amazon EC2 執行個體和容器映像是否有軟體漏洞和意外的網路暴露。  |  委派管理員啟用或停用成員帳戶掃描、檢視整個組織的彙總問題清單資料、建立和管理隱藏規則。 如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[使用 AWS Organizations管理多個帳戶](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-inspector2.md#integrate-enable-ta-inspector2)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-inspector2.md#integrate-enable-da-inspector2)   | 
|   [AWS License Manager](services-that-can-integrate-license-manager.md)  簡化將軟體授權轉送到雲端的程序。  |  您可啟用跨帳戶探索組織中的運算資源。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-license-manager.md#integrate-enable-ta-license-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是  [進一步了解](services-that-can-integrate-license-manager.md#integrate-enable-da-license-manager)  | 
|   [Amazon Macie](services-that-can-integrate-macie.md)  使用機器學習探索並分類您的關鍵商業內容，以協助您符合資料安全性和隱私權需求。它會持續評估您儲存在 Amazon S3 中的內容並通知您潛在的問題。  |  您可以為組織中的所有帳戶設定 Amazon Macie，以便從指定的 Macie 管理員帳戶中，在所有帳戶中的 Amazon S3，取得所有資料的合併檢視。您可以將 Macie 設定為在組織成長時自動保護新帳戶中的資源。系統會警示您修復整個組織中 S3 儲存貯體的政策配置不當。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-macie.md#integrate-enable-ta-macie)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-macie.md#integrate-enable-da-macie)   | 
|   [AWS Managed Services (AMS) 自助服務報告 (SSR)](services-that-can-integrate-managed-services.md)  從各種原生 AWS 服務收集資料，並提供存取主要 AMS 產品報告的權限。SSR 提供可用來支援操作、組態管理、資產管理、安全管理和合規的資訊。  |  您可以啟用彙總 SSR，這項功能可讓客戶透過您的管理帳戶或委派管理員帳戶，檢視整個組織的合併自助式報告。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-managed-services.md#integrate-enable-ta-managed-services)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-managed-services.md#integrate-enable-da-managed-services)   | 
|   [AWS Marketplace](services-that-can-integrate-marketplace.md)  經策管數位目錄，您可以用於尋找、購買、部署和管理第三方軟體、資料和服務，而您需要這些軟體、資料和服務，來建置解決方案並執行您的業務。  |  您可以跨組織中的帳戶共用 AWS Marketplace 訂閱和購買的授權。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS Marketplace 私有市集](services-that-can-integrate-private-marketplace.md)  為您提供廣泛的 產品目錄 AWS Marketplace，以及這些產品的精細控制。  |  可讓您建立與整個組織、一或多個 OUs 或組織中一或多個帳戶相關聯的多個私有市場體驗，每個帳戶都有自己的一組核准產品。您的 AWS 管理員也可以使用公司或團隊的標誌、訊息和顏色方案，將公司品牌套用到每個私有市場體驗。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-marketplace.md#integrate-enable-ta-marketplace)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-private-marketplace.md#integrate-enable-da-private-marketplace)   | 
|   [AWS Marketplace 採購洞察儀表板](services-that-can-integrate-procurement-insights.md)  可讓您檢視 AWS 組織中帳戶間所有 AWS Marketplace 購買項目的協議和成本分析資料。  |  AWS Marketplace 採購洞察儀表板會聆聽組織變更，例如加入組織的帳戶，並彙總其對應協議的資料，以建置其儀表板。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-procurement-insights.md#integrate-enable-ta-procurement-insights)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-procurement-insights.md#integrate-enable-da-procurement-insights)   | 
|   [AWS Network Manager](services-that-can-integrate-network-manager.md)  可讓您跨 AWS 帳戶、區域和內部部署位置集中管理 AWS Cloud WAN 核心網路和 AWS Transit Gateway 網路。  |  您可以使用傳輸閘道及其連接的資源，在組織內的多個 AWS 帳戶中集中管理和監控您的全球網路。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-network-manager.md#integrate-enable-ta-network-manager)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-network-manager.md#integrate-enable-da-network-manager)   | 
|   [Amazon Q Developer](services-that-can-integrate-amazon-q-dev.md)  Amazon Q Developer 是生成式 AI 支援的對話式助理，可協助您了解、建置、擴展和操作 AWS 應用程式。  |  Amazon Q Developer 的付費訂閱版本需要 Organizations 整合。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-amazon-q-dev.md#integrate-enable-ta-amazon-q-dev)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS Resource Access Manager](services-that-can-integrate-ram.md)  與其他 帳戶共用您擁有的指定 AWS 資源。  |  您可以在組織內共用資源，完全無需交換額外的邀請。您可以共享的資源包括 [Route 53 解析程式規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html#resolver-overview-forward-vpc-to-network-using-rules)、隨需容量保留等。 如需共用容量保留的相關資訊，請參閱 [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html)或 [https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html)。 如需可共享資源的清單，請參閱*AWS RAM 使用者指南*中的[可共享資源](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html)。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ram.md#integrate-enable-ta-ram)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS 資源總管](services-that-can-integrate-resource-explorer.md)  在類似網際網路搜尋引擎的體驗中探索您的資源  |  啟用多帳戶搜尋。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-resource-explorer.md#integrate-enable-ta-resource-explorer)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-resource-explorer.md#integrate-enable-da-resource-explorer)   | 
|   [AWS Security Hub CSPM](services-that-can-integrate-securityhub.md)  在 中檢視您的安全狀態 AWS ，並根據安全產業標準和最佳實務檢查您的環境。  |  您可以自動為組織的所有帳戶啟用 Security Hub CSPM，包括新增的新帳戶。這會增加 Security Hub CSPM 檢查和調查結果的涵蓋範圍，這可讓您更準確地了解整體安全狀態。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-securityhub.md#integrate-enable-ta-securityhub)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-securityhub.md#integrate-enable-da-securityhub)   | 
|   [Amazon S3 Storage Lens](services-that-can-integrate-s3lens.md)  透過可執行的建議來最佳化儲存，取得 Amazon S3 儲存用量和活動指標的可見性。  |  設定 Amazon S3 Storage Lens 以了解 Amazon S3 儲存用量和活動趨勢，以及針對您組織中所有成員帳戶的建議。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-s3lens.md#integrate-enable-ta-s3lens)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-s3lens.md#integrate-enable-da-s3lens)   | 
|   [AWS 安全事件回應](services-that-can-integrate-security-ir.md)  AWS 安全服務提供全年無休的即時、人力輔助安全事件支援，協助客戶快速回應憑證遭竊和勒索軟體攻擊等網路安全事件。  | 整個組織的安全涵蓋範圍。 |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-security-ir.md#integrate-enable-ta-security-ir)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-security-ir.md#integrate-enable-da-security-ir)   | 
|   [Amazon Security Lake](services-that-can-integrate-sl.md)  Amazon Security Lake 將來自雲端、內部部署和自訂來源的安全資料，集中到存放在您的帳戶的資料湖中。  | 建立可跨帳戶收集日誌和事件的資料湖。 |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-sl.md#integrate-enable-ta-sl)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-sl.md#integrate-enable-da-sl)   | 
|   [AWS Service Catalog](services-that-can-integrate-servicecatalog.md)  建立和管理已核准在 AWS上使用的 IT 服務型錄。  |  您可以更輕鬆地跨帳戶複製共用產品組合和複製產品，無需共用產品組合 ID。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-servicecatalog.md#integrate-enable-ta-servicecatalog)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html#portfolio-sharing-organizations)   | 
|   [Service Quotas](services-that-can-integrate-servicequotas.md)  集中檢視和管理您的服務*配額* (也稱為*限制*)。  |  您可以建立配額請求範本，以便於組織中建立帳戶時自動請求提高配額。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-servicequotas.md#integrate-enable-ta-servicequotas)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS IAM Identity Center](services-that-can-integrate-sso.md)  為所有帳戶和雲端應用程式提供單一登入存取。  |  使用者可以使用其公司登入資料登入 AWS 存取入口網站，並存取其指派管理帳戶或成員帳戶中的資源。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-sso.md#integrate-enable-ta-sso)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-sso.md#integrate-disable-da-sso)   | 
|   [AWS Systems Manager](services-that-can-integrate-ssm.md)  啟用 AWS 資源的可見性和控制。  |  您可以使用 Systems Manager Explorer 同步 AWS 帳戶 組織中所有 的操作資料。 您可以使用 Systems Manager 變更管理員，從委派的系統管理員帳戶來管理組織中所有成員帳戶的變更範本、核准和報告。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ssm.md#integrate-enable-ta-ssm)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ssm.md#integrate-enable-da-ssm)   | 
|   [AWS 使用者通知](services-that-can-integrate-uno.md)   AWS 通知的中央位置。  |  您可以集中設定和檢視組織中各帳戶的通知。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-uno.md#integrate-enable-ta-uno)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-uno.md#integrate-enable-da-uno)   | 
|   [標籤政策](services-that-can-integrate-tag-policies.md)  使用組織帳戶中各資源的標準化標籤。  |  您可以建立標籤政策來定義特定資源和資源類型的標記規則，並將這些政策連接至組織單位和帳戶，以強制執行這些規則。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-tag-policies.md#integrate-enable-ta-tag-policies)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [AWS Trusted Advisor](services-that-can-integrate-ta.md)  Trusted Advisor 會檢查您的 AWS 環境，並在有機會節省成本、改善系統可用性和效能，或協助填補安全漏洞時提出建議。  |  執行 AWS 帳戶 組織中所有 的 Trusted Advisor 檢查。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ta.md#integrate-enable-ta-ta)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ta.md#integrate-enable-da-ta)   | 
|   [AWS Well-Architected Tool](services-that-can-integrate-wat.md)   AWS Well-Architected Tool 可協助您記錄工作負載的狀態，並將其與最新的 AWS 架構最佳實務進行比較。  |  可讓 AWS WA Tool 和 Organizations 客戶簡化與其組織的其他成員共用 AWS WA Tool 資源的程序。  |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-wat.md#integrate-enable-ta-wat)   |   ![\[No\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-no.png) 否   | 
|   [Amazon VPC IP 地址管理員 (IPAM)](services-that-can-integrate-ipam.md)  IPAM 是一種 VPC 功能，可讓您更輕鬆地規劃、追蹤和監控 AWS 工作負載的 IP 地址。  | 監控整個組織的 IP 地址使用情況，並在成員帳戶之間共用 IP 地址集區。 |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ipam.md#integrate-enable-ta-ipam)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ipam.md#integrate-enable-da-ipam)   | 
|   [Amazon VPC Reachability Analyzer](services-that-can-integrate-ra.md)  Reachability Analyzer 是一種組態分析工具，可讓您在虛擬私有雲端 (VPC) 中的來源資源和目的地資源之間執行連線測試。  | 追蹤組織中跨帳戶的路徑。 |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ra.md#integrate-enable-ta-ra)   |   ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/icon-yes.png) 是   [進一步了解](services-that-can-integrate-ra.md#integrate-enable-da-ra)   | 

# AWS 帳戶管理 而且 AWS Organizations
<a name="services-that-can-integrate-account"></a>

AWS 帳戶管理 可協助您管理 AWS 帳戶 組織中所有 的帳戶資訊和中繼資料。您可以設定、修改或刪除組織每個成員帳戶的替代聯絡人資訊。如需詳細資訊，請參閱 *AWS 帳戶管理 使用者指南*中的[在組織中使用 AWS 帳戶管理](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs.html)。

使用下列資訊來協助您 AWS 帳戶管理 整合 AWS Organizations。



## 使用 Account Management 啟用受信任存取
<a name="integrate-enable-ta-account"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

帳戶管理需要信任的 存取權， AWS Organizations 才能將成員帳戶指定為組織的此服務委派管理員。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS 帳戶管理** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS 帳戶管理**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS 帳戶管理 ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS 帳戶管理 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal account.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Account Management 停用受信任存取
<a name="integrate-disable-ta-account"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS 帳戶管理。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS 帳戶管理** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取的 AWS 帳戶管理**對話方塊中，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS 帳戶管理 ，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS 帳戶管理 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Account Management 的委派管理員帳戶
<a name="integrate-enable-da-account"></a>

當您將成員帳戶指定為組織的委派管理員時，來自指定帳戶的使用者和角色可以為組織中的其他成員帳戶管理 AWS 帳戶 中繼資料。如果您未啟用委派系統管理員帳戶，則只有組織的管理帳戶才能執行這任務。這可協助您將組織的管理與帳戶詳細資訊的管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中進行 Account Management 的委派管理員。

如需關於如何設定委派政策的一般指示，請參閱 [使用 建立資源型委派政策 AWS Organizations使用 更新以資源為基礎的委派政策 AWS Organizations](orgs-policy-delegate.md)。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

# AWS Application Migration Service （應用程式遷移服務） 和 AWS Organizations
<a name="services-that-can-integrate-application-migration"></a>

AWS Application Migration Service 簡化、加速並降低將應用程式遷移至 的成本 AWS。透過與 Organizations 整合，您可以使用全域檢視功能來管理跨多個帳戶的大規模遷移。如需詳細資訊，請參閱《*Application Migration Service 使用者指南*》中的[設定您的 AWS Organizations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) 。

使用下列資訊來協助您 AWS Application Migration Service 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-application-migration"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Application Migration Service 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 Application Migration Service 和 Organizations 之間的受信任存取權，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForApplicationMigrationService `

## Application Migration Service 所使用的服務主體
<a name="integrate-enable-svcprin-application-migration"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Application Migration Service 使用的服務連結角色會將存取權授予下列服務主體：
+ `mgn.amazonaws.com`

## 使用 Application Migration Service 啟用受信任存取
<a name="integrate-enable-ta-application-migration"></a>

當您使用 Application Migration Service 啟用受信任存取時，您可以使用全域檢視功能，這可讓您管理跨多個帳戶的大規模遷移。全域檢視提供可見性和對不同 AWS 帳戶中的來源伺服器、應用程式和波紋執行特定動作的能力。如需詳細資訊，請參閱《 *AWS Application Migration Service 使用者指南*》中的[設定您的 AWS Organizations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html)。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Application Migration Service 主控台或 AWS Organizations 主控台啟用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Application Migration Service 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Application Migration Service 執行其所需的任何組態，例如建立 服務所需的資源。只有在您無法使用 AWS Application Migration Service提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Application Migration Service 主控台或工具啟用受信任存取，則不需要完成這些步驟。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Application Migration Service** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取的 AWS Application Migration Service**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Application Migration Service ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Application Migration Service 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal mgn.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Application Migration Service 停用受信任存取
<a name="integrate-disable-ta-application-migration"></a>

只有 Organizations 管理帳戶中的管理員可以使用 Application Migration Service 停用受信任存取。

您可以使用 AWS Application Migration Service 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Application Migration Service 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Application Migration Service 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Application Migration Service提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Application Migration Service 主控台或工具停用受信任存取，則不需要完成這些步驟。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Application Migration Service** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Application Migration Service**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Application Migration Service ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Application Migration Service 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal mgn.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Application Migration Service 的委派管理員帳戶
<a name="integrate-enable-da-application-migration"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以執行 Application Migration Service 的管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Application Migration Service 的管理分開。如需詳細資訊，請參閱《*Application Migration Service 使用者指南*》中的[設定您的 AWS Organizations](https://docs.aws.amazon.com/mgn/latest/ug/setting-up-organizations.html) 。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色可以將成員帳戶設定為組織中 Application Migration Service 的委派管理員

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal mgn.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務識別`mgn.amazonaws.com`為參數。

------

## 停用 Application Migration Service 的委派管理員
<a name="integrate-disable-da-application-migration"></a>

 只有 Organizations 管理帳戶中的管理員才能移除 Application Migration Service 的委派管理員。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作來移除委派管理員。

# AWS Artifact 而且 AWS Organizations
<a name="services-that-can-integrate-artifact"></a>

AWS Artifact 是一項服務，可讓您下載 AWS 安全合規報告，例如 ISO 和 PCI 報告。使用 時 AWS Artifact，組織管理帳戶中的使用者可以代表組織中的所有成員帳戶自動接受協議，即使新增了新的報告和帳戶。成員帳戶使用者可以檢視和下載協議。如需詳細資訊，請參閱《 *AWS Artifact 使用者指南*》中的[管理 AWS Artifact 中多個帳戶的協議](https://docs.aws.amazon.com/artifact/latest/ug/manage-org-agreement.html)。

使用下列資訊來協助您 AWS Artifact 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-artifact"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 AWS Artifact 執行支援的操作。

只有在您停用 AWS Artifact 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。

雖然如果您從組織中移除成員帳戶就能刪除或修改此角色，但我們不建議這樣做。

不建議修改角色，因為其可能會導致安全問題，如跨服務混淆代理人。如需進一步了解如何預防混淆代理人，請參閱*《AWS Artifact 使用者指南》*中的[預防跨服務代理人](https://docs.aws.amazon.com//artifact/latest/ug/security-iam.html#confused-deputy)。
+ `AWSServiceRoleForArtifact`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-artifact"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS Artifact 授予存取權給下列服務主體的服務連結角色：
+ `artifact.amazonaws.com`

## 使用 啟用受信任存取 AWS Artifact
<a name="integrate-enable-ta-artifact"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Artifact** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Artifact**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Artifact ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Artifact 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal artifact.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Artifact
<a name="integrate-disable-ta-artifact"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS Artifact。

您只能使用 Organizations 工具停用受信任存取。

AWS Artifact 需要 的受信任存取 AWS Organizations ，才能使用組織協議。如果您在使用 AWS Artifact 進行組織協議 AWS Organizations 時停用 的受信任存取，它會停止運作，因為它無法存取組織。您在 中接受但無法存取的任何組織協議都會 AWS Artifact 保留 AWS Artifact。 AWS Artifact 建立的 AWS Artifact 角色會保留。如果您之後重新啟用信任的存取， AWS Artifact 會繼續如之前般運作，而不需重新設定服務。

從組織移除的獨立帳戶不再可存取任何組織協議。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Artifact** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Artifact**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Artifact ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Artifact 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal artifact.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS Audit Manager 而且 AWS Organizations
<a name="services-that-can-integrate-audit-manager"></a>

AWS Audit Manager 可協助您持續稽核 AWS 用量，以簡化評估風險的方式，以及是否符合法規和業界標準。Audit Manager 會自動化證據收集，讓您更容易評定您的政策、程序和活動是否有效運作。需要稽核時，Audit Manager 可協助您管理對控制的利害關係人審查，並協助您以較少的手動工作來建立稽核就緒報表。

當您整合 Audit Manager 與 時 AWS Organizations，您可以從更廣泛的來源收集證據，方法是在評估範圍內包含 AWS 帳戶 組織中的多個 。

如需詳細資訊，請參閱 *Audit Manager 使用者指南*中的[啟用 AWS 組織](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html#enabling-orgs)。

使用下列資訊來協助您 AWS Audit Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-audit-manager"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Audit Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Audit Manager 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。

如需 Audit Manager 如何使用此角色的詳細資訊，請參閱*AWS Audit Manager 使用者指南*中的[使用服務連結角色](https://docs.aws.amazon.com/audit-manager/latest/userguide/using-service-linked-roles.html)。
+ `AWSServiceRoleForAuditManager`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-audit-manager"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Audit Manager 使用的服務連結角色會將存取權授予下列服務委託人：
+ `auditmanager.amazonaws.com`

## 使用 Audit Manager 來啟用受信任的存取
<a name="integrate-enable-ta-audit-manager"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

Audit Manager 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的委派管理員。

您可以使用 AWS Audit Manager 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Audit Manager 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Audit Manager 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Audit Manager提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Audit Manager 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 Audit Manager 主控台來啟用受信任的存取**  
如需啟用受信任存取的相關指示，請參閱*AWS Audit Manager 使用者指南*中的[設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao)。

**注意**  
如果您使用 AWS Audit Manager 主控台設定委派管理員，則 AWS Audit Manager 會自動為您啟用受信任的存取。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Audit Manager 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal auditmanager.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Audit Manager 來停用受信任的存取
<a name="integrate-disable-ta-audit-manager"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS Audit Manager。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Audit Manager 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal auditmanager.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 為 Audit Manager 啟用委派的管理員帳戶
<a name="integrate-enable-da-audit-manager"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Audit Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Audit Manager 的管理分開。

**最低許可**  
只有具有下列許可之 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Audit Manager 的委託管理員：  
`audit-manager:RegisterAccount`

如需啟用 Audit Manager 委派管理員帳戶的指示，請參閱*AWS Audit Manager 使用者指南*中的[設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao)。

如果您使用 AWS Audit Manager 主控台設定委派管理員，Audit Manager 會自動為您啟用受信任的存取。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws audit-manager register-account \
      --delegated-admin-account 123456789012
  ```
+ AWS SDK：呼叫 `RegisterAccount`操作，並提供 `delegatedAdminAccount`做為 參數來委派管理員帳戶。

------

# AWS Backup 而且 AWS Organizations
<a name="services-that-can-integrate-backup"></a>

AWS Backup 是一項服務，可讓您管理和監控組織中 AWS Backup 的任務。使用 時 AWS Backup，如果您以組織管理帳戶中的使用者身分登入，您可以啟用整個組織的備份保護和監控。它可協助您使用[備份政策](orgs_manage_policies_backup.md)，將 AWS Backup 計劃集中套用至組織中所有帳戶的資源，以達成合規。當您同時使用 AWS Backup 和 時 AWS Organizations ，可以獲得下列優點：

**保護**  
您可以在組織中[啟用備份政策類型](enable-policy-type.md)，然後[建立備份政策](orgs_policies_create.md)以連接至組織的根、OU 或帳戶。備份政策結合了 AWS Backup 計劃與自動將計劃套用至您的帳戶所需的其他詳細資訊。直接連接到 帳戶的政策會與[繼承](orgs_manage_policies_inheritance_mgmt.md)自組織的根目錄和任何父 OUs 的政策合併，以建立適用於該帳戶[的有效政策](orgs_manage_policies_effective.md)。此政策包含 IAM 角色的 ID，該角色具有在您帳戶中資源 AWS Backup 上執行 的許可。 AWS Backup 會使用 IAM 角色代表您執行備份，如有效政策中的備份計劃所指定。

**監控**  
當您在組織中[啟用 AWS Backup受信任的存取](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)時，您可以使用 AWS Backup 主控台，檢視組織中任何帳戶中的備份、還原和複製任務的詳細資訊。如需詳細資訊，請參閱*AWS Backup 開發人員指南*中的[監控您的備份任務](https://docs.aws.amazon.com/aws-backup/latest/devguide/monitor-and-verify-protected-resources.html)。

如需 的詳細資訊 AWS Backup，請參閱 *[AWS Backup 開發人員指南](https://docs.aws.amazon.com/aws-backup/latest/devguide/)*。

使用下列資訊來協助您 AWS Backup 整合 AWS Organizations。



## 使用 啟用受信任存取 AWS Backup
<a name="integrate-enable-ta-backup"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Backup 主控台或 AWS Organizations 主控台啟用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Backup 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Backup 執行其所需的任何組態，例如建立 服務所需的資源。只有在您無法使用 AWS Backup提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Backup 主控台或工具啟用受信任存取，則不需要完成這些步驟。

若要使用 啟用受信任存取 AWS Backup，請參閱《 *AWS Backup 開發人員指南*》中的在[多個 中啟用備份 AWS 帳戶](https://docs.aws.amazon.com//aws-backup/latest/devguide/manage-cross-account.html#enable-xaccount-management)。

## 使用 停用受信任存取 AWS Backup
<a name="integrate-disable-ta-backup"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

AWS Backup 需要 的受信任存取 AWS Organizations ，才能監控組織帳戶中的備份、還原和複製任務。如果您停用受信任的存取 AWS Backup，則無法檢視目前帳戶以外的任務。 AWS Backup 建立 AWS Backup 的角色會保留。如果您稍後重新啟用受信任的存取， 會 AWS Backup 繼續像以前一樣運作，而不需要重新設定服務。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Backup 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal backup.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 的委派管理員帳戶 AWS Backup
<a name="integrate-enable-da-backup"></a>

請參閱《AWS Backup 開發人員指南》**中的[委派管理員](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)。

# AWS 帳單與成本管理 而且 AWS Organizations
<a name="services-that-can-integrate-awsaccountbilling"></a>

AWS 帳單與成本管理 提供一套功能，可協助您設定帳單、擷取和支付發票，以及分析、整理、規劃和最佳化成本。當您搭配使用 Billing and Cost Management 時，如果適用， AWS Organizations 您可以允許[分割成本分配資料](https://docs.aws.amazon.com/cur/latest/userguide/split-cost-allocation-data.html)擷取 AWS Organizations 資訊，並收集您選擇的分割成本分配資料服務的遙測資料。

使用下列資訊來協助您 AWS 帳單與成本管理 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-awsaccountbilling"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Billing and Cost Management 在您組織中的組織帳戶中執行支援的操作。

只有在停用 Billing and Cost Management and Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。

如需詳細資訊，請參閱《 [ Billing and Cost Management 使用者指南》中的 Billing and Cost Management 的服務連結角色許可](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/security_iam_service-with-iam.html#security_iam_service-with-iam-roles-service-linked)。 **
+ `AWSServiceRoleForSplitCostAllocationData`

## Billing and Cost Management 使用的服務主體
<a name="integrate-enable-svcprin-awsaccountbilling"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Billing and Cost Management 使用的服務連結角色會將存取權授予下列服務主體：

Billing and Cost Management 使用 ` billing-cost-management.amazonaws.com`服務主體。

## 使用 Billing and Cost Management 啟用受信任存取
<a name="integrate-enable-ta-awsaccountbilling"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

透過管理帳戶啟用受信任存取，客戶可以利用 Billing and Cost Management 下的分割成本分配資料功能。當客戶使用 Amazon Managed Service for Prometheus 啟用 Amazon Elastic Kubernetes Service 的分割成本分配資料時，會叫用受信任存取，以為組織中的所有成員帳戶建立服務連結角色。這允許分割成本分配資料從客戶的 Amazon Managed Service for Prometheus 工作空間收集遙測資料，並根據這些指標執行成本分配。

您只能使用 Organizations 工具啟用受信任存取。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS 帳單與成本管理 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal  billing-cost-management.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用受信任存取權
<a name="integrate-disable-ta-awsaccountbilling"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS 帳單與成本管理 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal  billing-cost-management.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS CloudFormation StackSets 和 AWS Organizations
<a name="services-that-can-integrate-cloudformation"></a>

CloudFormation StackSets 可讓您透過 AWS 區域 單一操作跨多個 AWS 帳戶 和 建立、更新或刪除堆疊。StackSets 與 AWS Organizations 整合，可讓您使用每個成員帳戶中具有相關許可的服務連結角色，建立具有服務管理許可的堆疊集。這可讓您將堆疊執行個體部署至組織中的成員帳戶。您不需要建立必要的 AWS Identity and Access Management 角色；StackSets 會代表您在每個成員帳戶中建立 IAM 角色。

您可以選擇自動部署到未來新增至組織的帳戶。啟用自動部署後，關聯堆疊集執行個體的角色和部署會自動新增至未來在該 OU 中新增的所有帳戶。

啟用 StackSets 和 Organizations 之間的受信任存取後，管理帳戶會擁有為您的組織建立和管理堆疊集的許可。管理帳戶最多可將五個成員帳戶註冊為委派管理員。啟用受信任存取之後，委派管理員也會擁有為您的組織建立和管理堆疊集的許可。具有服務管理許可的堆疊集是在管理帳戶中建立的，包括由委派管理員建立的堆疊集。

**重要**  
委派管理員具有部署至組織中帳戶的完整許可。管理帳戶無法限制部署至特定 OU 或執行特定堆疊集操作的委派管理員許可。

 如需將 StackSets 與 Organizations 整合的詳細資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。

使用以下資訊來協助您整合 AWS CloudFormation StackSets 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-cloudformation"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色可讓 CloudFormation Stacksets 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 CloudFormation Stacksets 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ 管理帳戶︰`AWSServiceRoleForCloudFormationStackSetsOrgAdmin`

若要為您組織中的成員帳戶建立服務連結角色 `AWSServiceRoleForCloudFormationStackSetsOrgMember`，您需要先在管理帳戶中建立堆疊集。此將建立一個堆疊集執行個體，然後在成員帳戶中建立角色。
+ 成員帳戶︰`AWSServiceRoleForCloudFormationStackSetsOrgMember`

如需建立堆疊集的詳細資訊，請參閱*《AWS CloudFormation 使用者指南》*中的[使用 AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-cloudformation"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Stacksets CloudFormation 使用的服務連結角色會將存取權授予下列服務主體：
+ 管理帳戶︰`stacksets.cloudformation.amazonaws.com`

  只有在您停用 StackSets 和 Organizations 之間的受信任存取時，才能修改或刪除此角色。
+ 成員帳戶︰`member.org.stacksets.cloudformation.amazonaws.com`

  只有在您首先停用 StackSets 和 Organizations 之間的受信任存取，或者首先從目標組織或組織單位 (OU) 中移除帳戶時，才能從帳戶中修改或刪除此角色。

## 使用 Stacksets CloudFormation 啟用受信任存取
<a name="integrate-enable-ta-cloudformation"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務啟用受信任存取的許可 AWS 。您可以使用 CloudFormation 主控台或 Organizations 主控台來啟用信任存取。

您只能使用 AWS CloudFormation StackSets 啟用受信任存取。

若要使用 CloudFormation Stacksets 主控台啟用受信任存取，請參閱 AWS CloudFormation 《 使用者指南》中的[使用 啟用受信任存取 AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html)。

## 使用 CloudFormation Stacksets 停用受信任存取
<a name="integrate-disable-ta-cloudformation"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務停用受信任存取的許可 AWS 。您只能使用 Organizations 主控台來停用受信任的存取。如果您在使用 StackSets 時停用 Organizations 的受信任存取，則會保留所有先前建立的堆疊執行個體。不過，使用服務連結角色許可部署的堆疊集，無法再對 Organizations 管理的帳戶執行部署。

您可以使用 CloudFormation 主控台或 Organizations 主控台來停用受信任存取。

**重要**  
如果您以程式設計方式停用受信任存取 （例如使用 AWS CLI 或使用 API)，請注意，這會移除 許可。最好使用 CloudFormation 主控台停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **AWS CloudFormation StackSets**。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取 for AWS CloudFormation StackSets** 對話方塊中，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS CloudFormation StackSets 的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS CloudFormation StackSets 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal stacksets.cloudformation.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Stacksets CloudFormation 的委派管理員帳戶
<a name="integrate-enable-da-cloudformation"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 CloudFormation Stacksets 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Stacksets CloudFormation 的管理分開。

如需如何將成員帳戶指定為組織中 CloudFormation Stacksets 的堆疊集，請參閱*AWS CloudFormation 使用者指南*中的[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。

# AWS CloudTrail 而且 AWS Organizations
<a name="services-that-can-integrate-cloudtrail"></a>

AWS CloudTrail 是一項 AWS 服務，可協助您啟用 的控管、合規，以及營運和風險稽核 AWS 帳戶。使用 AWS CloudTrail，管理帳戶中的使用者可以建立組織追蹤，記錄 AWS 帳戶 該組織中所有 的所有事件。組織線索會自動套用到組織中的所有成員帳戶。成員帳戶可以查看組織線索，但無法進行修改或刪除。依預設，成員帳戶無法存取在 Amazon S3 儲存貯體中組織追蹤的日誌檔案。這個做法可協助您統一套用並強制執行組織中帳戶的事件日誌策略。

如需詳細資訊，請參閱*AWS CloudTrail 使用者指南*中的[建立組織追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。

使用下列資訊來協助您 AWS CloudTrail 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-cloudtrail"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 CloudTrail 在您組織的組織帳戶中執行支援的操作。

只有在您停用 CloudTrail 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForCloudTrail`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-cloudtrail"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。CloudTrail 使用的服務連結角色會將存取權授與下列服務委託人：
+ `cloudtrail.amazonaws.com`

## 使用 CloudTrail 來啟用受信任存取
<a name="integrate-enable-ta-cloudtrail"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

如果您透過從 AWS CloudTrail 主控台建立追蹤來啟用受信任存取，系統會自動為您設定受信任存取 （建議）。您也可以使用 AWS Organizations 主控台啟用受信任存取。您必須使用 AWS Organizations 管理帳戶登入，才能建立組織追蹤。

如果您選擇使用 AWS CLI 或 AWS API 建立組織線索，則必須手動設定信任的存取。如需詳細資訊，請參閱*AWS CloudTrail 使用者指南*中的[啟用 CloudTrail 作為 AWS Organizations中的受信任服務](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)。

**重要**  
 我們強烈建議您盡可能使用 AWS CloudTrail 主控台或工具來啟用與 Organizations 的整合。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS CloudTrail 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 CloudTrail 來停用受信任存取
<a name="integrate-disable-ta-cloudtrail"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

 AWS CloudTrail 需要 的受信任存取 AWS Organizations ，才能使用組織追蹤和組織事件資料存放區。如果您在使用 時停用 的 AWS Organizations 受信任存取 AWS CloudTrail，則會刪除成員帳戶的所有組織線索，因為 CloudTrail 無法存取組織。所有管理帳戶組織追蹤和組織事件資料存放區都會轉換為帳戶層級追蹤和事件資料存放區。為 CloudTrail 與 之間的整合而建立`AWSServiceRoleForCloudTrail`的角色會 AWS Organizations 保留在帳戶中。如果您重新啟用受信任的存取，CloudTrail 將不會對現有的線索和事件資料存放區採取動作。管理帳戶必須更新任何帳戶層級追蹤和事件資料存放區，才能將其套用至組織。

若要將帳戶層級追蹤或事件資料存放區轉換為組織追蹤或組織事件資料存放區，請執行下列動作：
+ 從 CloudTrail 主控台更新[線](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)索或[事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)，並選擇**為組織中的所有帳戶啟用**選項。
+ 從 中 AWS CLI，執行下列動作：
  + 若要更新線索，請執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html)命令並包含 `--is-organization-trail` 參數。
  + 若要更新事件資料存放區，請執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)命令並包含 `--organization-enabled` 參數。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS CloudTrail。您只能使用 Organizations 工具、使用 AWS Organizations 主控台、執行 Organizations CLI AWS 命令，或在其中一個 AWS SDKs 中呼叫 Organizations API 操作，來停用受信任的存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS CloudTrail** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS CloudTrail**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS CloudTrail ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS CloudTrail 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 CloudTrail 委派管理員帳戶
<a name="integrate-enable-da-cloudtrail"></a>

當您將 CloudTrail 與 Organizations 一起使用時，您可以在組織內註冊任何帳戶以作為 CloudTrail 委派管理員，以代表組織管理組織的追蹤和事件資料存放區。委派管理員是組織中的成員帳戶，可以在 CloudTrail 中執行與管理帳戶相同的管理工作。

**最低許可**  
只有組織管理帳戶中的管理員可以註冊 CloudTrail 的委派管理員。

您可以使用 CloudTrail 主控台，或使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作，註冊委派管理員帳戶。若要使用 CloudTrail 主控台註冊委派管理員，請參閱 [Add a CloudTrail delegated administrator](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html) (新增 CloudTrail 委派管理員)。

## 停用 CloudTrail 委派管理員
<a name="integrate-disable-da-cloudtrail"></a>

 只有組織管理帳戶中的管理員可以移除 CloudTrail 的委派管理員。您可以使用 CloudTrail 主控台或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。如需有關如何使用 CloudTrail 主控台移除委派管理員的資訊，請參閱 [Remove a CloudTrail delegated administrator](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html) (移除 CloudTrail 委派管理員)。

# Amazon CloudWatch 和 AWS Organizations
<a name="services-that-can-integrate-cloudwatch"></a>

您可以針對下列使用案例使用 AWS Organizations Amazon CloudWatch 的 ：
+ 從 CloudWatch 主控台的中央檢視探索並了解資源 AWS 的遙測組態狀態。這可簡化稽核您 AWS 組織或帳戶中多個資源類型的遙測收集組態的程序。您必須開啟受信任的存取，才能在整個組織中使用遙測組態。

  如需詳細資訊，請參閱《Amazon CloudWatch 使用者指南》**中的[稽核 CloudWatch 遙測組態](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html)。
+ 在 Network Flow Monitor 中使用多個帳戶，這是 Amazon CloudWatch Network Monitoring 的一項功能。Network Flow Monitor 為 Amazon EC2 執行個體之間的流量提供近乎即時的網路效能可見性。開啟信任的存取以與 Organizations 整合後，您可以建立監視器，以視覺化多個帳戶的網路效能詳細資訊。

  如需詳細資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[初始化多帳戶監控的網路流量監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html)。

使用以下資訊來協助您整合 Amazon CloudWatch 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-cloudwatch"></a>

在組織的管理帳戶中建立下列[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。當您啟用受信任存取時，服務連結角色會自動在成員帳戶中建立。此角色可讓 CloudWatch 在組織中的組織帳戶中執行支援的操作。只有在您停用 CloudWatch 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForObservabilityAdmin`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-cloudwatch"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。CloudWatch 使用的服務連結角色會將存取權授予下列服務主體：
+ `observabilityadmin.amazonaws.com`
+ `networkflowmonitor.amazonaws.com`
+ `topology.networkflowmonitor.amazonaws.com`

## 使用 CloudWatch 啟用受信任存取
<a name="integrate-enable-ta-cloudwatch"></a>

如需開啟受信任存取所需的許可資訊，請參閱 [啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 Amazon CloudWatch 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 Amazon CloudWatch 主控台或工具來啟用與 Organizations 的整合。這可讓 Amazon CloudWatch 執行所需的任何組態，例如建立服務所需的資源。只有在您無法使用 Amazon CloudWatch 提供的工具啟用整合時，才能繼續進行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 Amazon CloudWatch 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 CloudWatch 主控台開啟受信任存取**  
請參閱《Amazon [ CloudWatch 使用者指南》中的開啟 CloudWatch 遙測稽核](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 *Amazon CloudWatch *

當您在 CloudWatch 中開啟受信任存取時，您可以啟用遙測稽核，並且可以在網路流量監視器中使用多個帳戶。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon CloudWatch**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 Amazon CloudWatch 的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon CloudWatch 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令以啟用 Amazon CloudWatch 做為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal observabilityadmin.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 CloudWatch 關閉受信任的存取
<a name="integrate-disable-ta-cloudwatch"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 Amazon CloudWatch 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 Amazon CloudWatch 主控台或工具來停用與 Organizations 的整合。這可讓 Amazon CloudWatch 執行其所需的任何清除，例如刪除服務不再需要的資源或存取角色。只有在您無法使用 Amazon CloudWatch 提供的工具停用整合時，才能繼續進行這些步驟。  
如果您使用 Amazon CloudWatch 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 CloudWatch 主控台關閉受信任存取**  
請參閱《Amazon [ CloudWatch 使用者指南》中的關閉 CloudWatch 遙測稽核 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html) *Amazon CloudWatch *

當您在 CloudWatch 中關閉受信任存取時，遙測稽核不再處於作用中狀態，您無法再使用網路流量監視器中的多個帳戶。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon CloudWatch 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal observabilityadmin.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 註冊 CloudWatch 的委派管理員帳戶
<a name="integrate-enable-da-cloudwatch"></a>

當您將成員帳戶註冊為組織的委派管理員帳戶時，該帳戶的使用者和角色可以為 CloudWatch 執行管理動作，否則只能由使用組織管理帳戶登入的使用者或角色執行。使用委派管理員帳戶可協助您將組織的管理與 CloudWatch 中的功能管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的管理員可以將成員帳戶註冊為組織中 CloudWatch 的委派管理員帳戶。

您可以使用 CloudWatch 主控台註冊委派管理員帳戶，或使用 Organizations `RegisterDelegatedAdministrator` API 操作搭配 AWS Command Line Interface 或 SDK。

如需有關如何使用 CloudWatch 主控台註冊委派管理員帳戶的資訊，請參閱《Amazon [ CloudWatch 使用者指南》中的開啟 CloudWatch 遙測稽核](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 *Amazon CloudWatch *

當您在 CloudWatch 中註冊委派管理員帳戶時，您可以使用該帳戶進行管理操作，搭配遙測稽核和 Network Flow Monitor。

## 取消註冊 CloudWatch 的委派管理員
<a name="integrate-disable-da-cloudwatch"></a>

**最低許可**  
只有使用 Organizations 管理帳戶登入的管理員才能取消組織中 CloudWatch 的委派管理員帳戶註冊。

 您可以使用 CloudWatch 主控台，或使用 Organizations `DeregisterDelegatedAdministrator` API 操作搭配 AWS Command Line Interface 或 SDK 來取消註冊委派管理員帳戶。如需詳細資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[取消註冊委派管理員帳戶](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。

當您在 CloudWatch 中取消註冊委派管理員帳戶時，您無法再使用帳戶進行遙測稽核和網路流量監控的管理操作。

# AWS Compute Optimizer 而且 AWS Organizations
<a name="services-that-can-integrate-compute-optimizer"></a>

AWS Compute Optimizer 是一種 服務，可分析 AWS 資源的組態和使用率指標。資源範例包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和 Auto Scaling 群組。Compute Optimizer 會報告您的資源是否最佳化並產生最佳化推薦，以降低成本並改善工作負載的效能。如需有關 Compute Optimizer 的詳細資訊，請參閱[AWS Compute Optimizer 使用者指南](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is.html)。

使用下列資訊來協助您 AWS Compute Optimizer 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-compute-optimizer"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Compute Optimizer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Compute Optimizer 和 Organizations 之間的信任存取，或從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForComputeOptimizer`
+ `AWSServiceRoleForComputeOptimizerAutomation`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-compute-optimizer"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Compute Optimizer 使用的服務連結角色會將存取權授予下列服務委託人：
+ `compute-optimizer.amazonaws.com`

## 使用 Compute Optimizer 來啟用受信任存取
<a name="integrate-enable-ta-compute-optimizer"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Compute Optimizer 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Compute Optimizer 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Compute Optimizer 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Compute Optimizer提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Compute Optimizer 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 Compute Optimizer 主控台來啟用受信任存取**  
您必須使用組織的管理帳戶登入 Compute Optimizer 主控台。請遵循*AWS Compute Optimizer 使用者指南*中的[選擇加入您的帳戶](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in)，代表您的組織選擇加入。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Compute Optimizer** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用信任的存取 AWS Compute Optimizer**對話方塊中，輸入**啟用**以確認，然後選擇**啟用信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Compute Optimizer ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Compute Optimizer 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal compute-optimizer.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Compute Optimizer 來停用受信任存取
<a name="integrate-disable-ta-compute-optimizer"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS Compute Optimizer。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Compute Optimizer 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal compute-optimizer.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Compute Optimizer 的委派管理員帳戶
<a name="integrate-enable-da-compute-optimizer"></a>

當您將成員帳戶指定為組織的委派管理員時，來自指定帳戶的使用者和角色可以為組織中的其他成員帳戶管理 AWS 帳戶 中繼資料。如果您未啟用委派系統管理員帳戶，則只有組織的管理帳戶才能執行這任務。這可協助您將組織的管理與帳戶詳細資訊的管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Compute Optimizer 的委派管理員

如需啟用 Compute Optimizer 委派管理員帳戶的說明，請參閱*《AWS Compute Optimizer 使用者指南》*中的 [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html)。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal compute-optimizer.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Compute Optimizer 的委派管理員帳戶
<a name="integrate-disable-da-compute-optimizer"></a>

只有組織管理帳戶中的管理員可以設定 Compute Optimizer 的委派管理員。

 若要使用 Compute Optimizer 主控台停用委派管理員 Compute Optimizer 帳戶，請參閱*《AWS Compute Optimizer 使用者指南》*中的 [https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html](https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html)。

 若要使用 移除委派管理員 AWS AWS CLI，請參閱《 *AWS AWS CLI 命令參考*》中的 [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)。

# AWS Config 而且 AWS Organizations
<a name="services-that-can-integrate-config"></a>

中的多帳戶、多區域資料彙總 AWS Config 可讓您將來自多個帳戶和 AWS Config 的資料彙總 AWS 區域 到單一帳戶。多帳戶多區域資料彙總對中央 IT 管理員監控企業中多個 AWS 帳戶 的合規性非常有用。彙總工具是 中的資源類型 AWS Config ， AWS Config 可從多個來源帳戶和區域收集資料。在您要查看彙總 AWS Config 資料的區域中建立彙總工具。建立彙總工具時，您可以選擇新增個別帳戶 ID 或您的組織。如需 的詳細資訊 AWS Config，請參閱 [AWS Config 開發人員指南](https://docs.aws.amazon.com/config/latest/developerguide/)。

您也可以使用 [AWS Config APIs](https://docs.aws.amazon.com/config/latest/APIReference/welcome.html) 來管理 AWS Config 組織中所有 AWS 帳戶 的規則。如需詳細資訊，請參閱《 *AWS Config 開發人員指南*》[中的在您的組織中所有帳戶中啟用 AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)。

使用下列資訊來協助您 AWS Config 整合 AWS Organizations。



## 服務連結角色
<a name="integrate-enable-slr-config"></a>

下列[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)允許 在您的組織中的帳戶內 AWS Config 執行支援的操作。
+ `AWSServiceRoleForConfig`

進一步了解如何在 *AWS Config 開發人員指南*中[為指派給 的 IAM 角色的許可中建立此角色 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.html) 

《 *AWS Config 開發人員指南*》中的進一步了解如何在使用 AWS Config 的服務連結角色 中使用服務連結角色 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html) 

只有在您停用 AWS Config 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。

## 使用 啟用受信任存取 AWS Config
<a name="integrate-enable-ta-config"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Config 主控台或 AWS Organizations 主控台啟用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Config 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Config 執行其所需的任何組態，例如建立 服務所需的資源。只有在您無法使用 AWS Config提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Config 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 AWS Config 主控台啟用受信任存取**  
若要啟用 AWS Organizations 的受信任存取 AWS Config，請建立多帳戶彙總工具並新增組織。如需如何設定多帳戶彙整工具的資訊，請參閱《 *AWS Config 開發人員指南*》中的[建立彙整工具](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-create.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Config** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Config**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Config ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Config 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal config.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Config
<a name="integrate-disable-ta-config"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Config 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal config.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS 成本最佳化中心 而且 AWS Organizations
<a name="services-that-can-integrate-coh"></a>

AWS 成本最佳化中心 是一項 AWS Billing and Cost Management 功能，可協助您在 AWS 帳戶和 AWS 區域中整合成本最佳化建議並排定其優先順序，以便充分利用您的 AWS 支出。當您將 Cost Optimization Hub 與 AWS Organizations 搭配使用時，您可以輕鬆識別、篩選和彙總 Organizations 成員帳戶和 AWS 區域中 AWS 的成本最佳化建議。

如需詳細資訊，請參閱*AWS Cost Management 《 使用者指南*》中的 [ Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub.html)。

使用下列資訊來協助您 AWS 成本最佳化中心 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-coh"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Cost Optimization Hub 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 Cost Optimization Hub 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。

如需詳細資訊，請參閱*AWS Cost Management 《 使用者指南*》中的 [ Cost Optimization Hub 的服務連結角色許可](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html#cost-optimization-hub-SLR-permissions)。
+ `AWSServiceRoleForCostOptimizationHub`

## Cost Optimization Hub 使用的服務主體
<a name="integrate-enable-svcprin-coh"></a>

Cost Optimization Hub 使用 `cost-optimization-hub.bcm.amazonaws.com`服務主體。

## 使用 Cost Optimization Hub 啟用受信任存取
<a name="integrate-enable-ta-coh"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您選擇使用組織的管理帳戶並包含組織中的所有成員帳戶時，您的組織帳戶中會自動啟用 Cost Optimization Hub 的受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS 成本最佳化中心** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取的 AWS 成本最佳化中心**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS 成本最佳化中心 ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS 成本最佳化中心 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal cost-optimization-hub.bcm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用受信任存取權
<a name="integrate-disable-ta-coh"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

**重要**  
 如果您在選擇加入後停用 Cost Optimization Hub 受信任存取，Cost Optimization Hub 會拒絕存取組織成員帳戶的建議。此外，組織內的成員帳戶不會選擇加入 Cost Optimization Hub。如需進一步了解，請參閱《 *AWS Cost Management 使用者指南*》中的 [Cost Optimization Hub and Organizations 受信任存取](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-trusted-access.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS 成本最佳化中心 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cost-optimization-hub.bcm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Cost Optimization Hub 的委派管理員帳戶
<a name="integrate-enable-da-coh"></a>

當您將成員帳戶指定為組織的委派管理員時，指定的帳戶可以擷取組織下所有帳戶的 Cost Optimization Hub 建議，並管理 Cost Optimization Hub 偏好設定，讓您更靈活地集中識別資源最佳化機會。

**最低許可**  
只有具有下列許可的 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Cost Optimization Hub 的委派管理員：

如需為 Cost Optimization Hub 啟用委派管理員帳戶的指示，請參閱*AWS Cost Management 《 使用者指南*》中的[委派管理員帳戶](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html)。

## 停用 Cost Optimization Hub 的委派管理員
<a name="integrate-disable-da-coh"></a>

 只有 Organizations 管理帳戶中的管理員才能移除 Cost Optimization Hub 的委派管理員。

若要使用 Cost Optimization Hub 主控台停用委派管理員成本最佳化中樞帳戶，請參閱*AWS Cost Management 《 使用者指南*》中的[委派管理員帳戶](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-delegated-admin.html)。

 若要使用 CLI AWS 移除委派管理員，請參閱 *AWS Config CLI 參考*[https://docs.aws.amazon.com/cli/latest/](https://docs.aws.amazon.com/cli/latest/)中的 。

# AWS Control Tower 而且 AWS Organizations
<a name="services-that-can-integrate-CTower"></a>

AWS Control Tower 提供一種簡單的方法來設定和管理 AWS 多帳戶環境，並遵循規範性最佳實務。 AWS Control Tower 協同運作可擴展 的功能 AWS Organizations。 會 AWS Control Tower 套用預防性和偵測性控制 （護欄），以協助您的組織和帳戶避免與最佳實務 （偏離） 的分歧。

AWS Control Tower 協同運作擴展了 的功能 AWS Organizations。

如需詳細資訊，請參閱 [https://docs.aws.amazon.com/controltower/latest/userguide/](https://docs.aws.amazon.com/controltower/latest/userguide/)。

使用下列資訊來協助您 AWS Control Tower 整合 AWS Organizations。



## 進行整合時所需要的角色
<a name="integrate-enable-roles-CTower"></a>

所有已註冊的帳戶中都必須存在有 `AWSControlTowerExecution` 角色。它允許 管理您的個別帳戶 AWS Control Tower ，並將這些帳戶的相關資訊報告給您的 Audit and Log Archive 帳戶。

若要進一步了解 使用的角色 AWS Control Tower，請參閱 [AWS Control Tower 如何使用角色來建立和管理帳戶](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how)，以及[使用 的身分型政策 (IAM 政策） AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/access-control-managing-permissions.html)。

## 使用的服務主體 AWS Control Tower
<a name="integrate-enable-svcprin-CTower"></a>

AWS Control Tower 使用 `controltower.amazonaws.com`服務主體。

## 使用 啟用受信任存取 AWS Control Tower
<a name="integrate-enable-ta-CTower"></a>

AWS Control Tower 使用受信任的存取來偵測偏離以進行預防性控制，並追蹤導致偏離的帳戶和 OU 變更。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

若要從 Organizations 主控台啟用受信任存取，請選擇 **AWS Control Tower** 旁的 **Enable access**。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Control Tower 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Control Tower
<a name="integrate-disable-ta-CTower"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

**重要**  
停用 AWS Control Tower受信任的存取會導致 AWS Control Tower 登陸區域中的漂移。修正此漂移問題的唯一方法是使用 AWS Control Tower的登陸區域修復。在 Organizations 中重新啟用受信任的存取權並不能修正此漂移。在 *AWS Control Tower 用戶指南*中[進一步了解漂移](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS Control Tower 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Amazon Detective 和 AWS Organizations
<a name="services-that-can-integrate-detective"></a>

Amazon Detective 會使用您的日誌資料產生視覺化效果，以便您分析、調查並識別安全問題清單或可疑活動的根本原因。

使用 AWS Organizations 可讓您確保 Detective 行為圖表可讓您查看所有組織帳戶的活動。

當您向 Detective 授予受信任存取權時，Detective 服務可以自動對組織成員身分的變更做出反應。委派管理員可以在行為圖中將任何組織帳戶作為成員帳戶啟用。Detective 還可以自動將新組織帳戶作為成員帳戶啟用。組織帳戶無法將自己與行為圖解除關聯。



如需詳細資訊，請參閱《Amazon Detective 管理指南》**中的[在組織中使用 Amazon Detective](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-transition.html)。

使用以下資訊來協助您整合 Amazon Detective 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-detective"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Detective 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Detective 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForDetective`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-detective"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Detective 使用的服務連結角色會將存取權授予下列服務委託人：
+ `detective.amazonaws.com`

## 使用 Detective 啟用受信任存取
<a name="integrate-enable-ta-detective"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
當您指定 Amazon Detective 的委派管理員時，Detective 會自動啟用組織中 Detective 的受信任存取。  
Detective 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台啟用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Detective**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 Amazon Detective 的受信任存取**對話方塊中，輸入 **Enable** 進行確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Detective 的管理員，他們現在可以 AWS Organizations 從服務主控台 啟用該服務來使用 。

------

## 使用 Detective 停用受信任存取
<a name="integrate-disable-ta-detective"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 Amazon Detective 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台停用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Detective**。

1. 選擇**停用受信任的存取**。

1. 在**停用 Amazon Detective 的受信任存取**對話方塊中，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Detective 的管理員，他們現在可以使用 AWS Organizations 服務主控台或工具停用該服務。

------

## 啟用 Detective 的委派管理員帳戶
<a name="integrate-enable-da-detective"></a>

Detective 的委派管理員帳戶是 Detective 行為圖的管理員帳戶。委派管理員會判斷要在該行為圖中啟用和停用哪些作為成員帳戶的組織帳戶。委派管理員可以設定 Detective，使其在將新的組織帳戶新增到組織時自動將其作為成員帳戶啟用。如需委派管理員如何管理組織帳戶的資訊，請參閱*《Amazon Detective 管理指南》*中的[將組織帳戶作為成員帳戶管理](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-orgs-members.html)。

只有組織管理帳戶中的管理員可以設定 Detective 的委派管理員。

您可以從 Detective 主控台或 API，或使用 Organizations CLI 或 SDK 操作，指定委派的管理員帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Detective 的委派管理員

若要使用 Detective 主控台或 API 設定委派管理員，請參閱*《Amazon Detective 管理指南》*中的[為組織指定 Detective 管理員帳戶](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal detective.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Detective 的委派管理員
<a name="integrate-disable-da-detective"></a>

您可以使用 Detective 主控台或 API，或透過使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。關於如何使用 Detective 主控台或 API 或 Organizations API 移除委派管理員的資訊，請參閱*《Amazon Detective 管理指南》*中的[為組織指定 Detective 管理員帳戶](https://docs.aws.amazon.com//detective/latest/adminguide/accounts-designate-admin.html)。

# Amazon DevOps Guru 和 AWS Organizations
<a name="services-that-can-integrate-devops"></a>

Amazon DevOps Guru 分析營運資料和應用程式指標與事件，以識別與正常操作模式不同的行為。當 DevOps Guru 檢測到操作問題或風險時，會通知使用者。

使用 DevOps Guru 可透過 啟用多帳戶支援 AWS Organizations，因此您可以指定成員帳戶來管理整個組織的洞見。然後，此委派管理員可以檢視、排序和篩選組織內所有帳戶的洞察，以便從整體上了解組織內所有受監控應用程式的運作狀態，而無需進行任何其他自訂。

如需詳細資訊，請參閱《Amazon DevOps Guru 使用者指南》**中的[監控組織中的帳戶](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。

使用以下資訊來協助您整合 Amazon DevOps Guru 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-devops"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 DevOps Guru 在您組織的組織帳戶中執行支援的操作。

只有在您停用 DevOps Guru 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForDevOpsGuru`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-devops"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。DevOps Guru 使用的服務連結角色會將存取權授予下列服務委託人：
+ `devops-guru.amazonaws.com` 

如需詳細資訊，請參閱《Amazon DevOps Guru 使用者指南》**中的[將服務連結角色用於 DevOps Guru](https://docs.aws.amazon.com//devops-guru/latest/userguide/using-service-linked-roles.html)。

## 使用 DevOps Guru 啟用受信任存取
<a name="integrate-enable-ta-devops"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
當您指定 Amazon DevOps Guru 的委派管理員時，DevOps Guru 會自動啟用組織中 DevOps Guru 的受信任存取。  
DevOps Guru 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

**重要**  
強烈建議您盡可能使用 Amazon DevOps Guru 主控台或工具來啟用與 Organizations 的整合。這可讓 Amazon DevOps Guru 執行其需要的任何組態，例如建立服務所需的資源。只有在您無法使用 Amazon DevOps Guru 提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。

您可以使用 AWS Organizations 主控台或 DevOps Guru 主控台來啟用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[Services](https://console.aws.amazon.com/organizations/v2/home/services)** (服務) 頁面上，尋找 **Amazon DevOps Guru** 列，選擇服務的名稱，然後選擇 **Enable trusted access** (啟用受信任存取)。

1. 在確認對話方塊中，啟用**顯示啟用受信任存取選項**，在方塊中輸入 **enable**，然後選擇**啟用受信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon DevOps Guru 的管理員，他們現在可以使用其主控台啟用該服務 AWS Organizations。

------
#### [ DevOps Guru console ]

**使用 DevOps Guru 主控台來啟用受信任服務存取**

1. 在管理帳戶中以管理員身分登入並開啟 DevOps Guru 主控台：[Amazon DevOps Guru 主控台](https://console.aws.amazon.com//devops-guru/management-account) 

1. 選擇 **Enable trusted access (啟用信任存取)**。

------

## 使用 DevOps Guru 停用受信任存取
<a name="integrate-disable-ta-devops"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 Amazon DevOps Guru 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台停用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon DevOps Guru**。

1. 選擇**停用受信任的存取**。

1. 在**停用 Amazon DevOps Guru 的受信任存取**對話方塊中，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon DevOps Guru 的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具停用該服務。

------

## 啟用 DevOps Guru 的委派管理員帳戶
<a name="integrate-enable-da-devops"></a>

DevOps Guru 的委派管理員帳戶可以查看所有成員帳戶中的洞察資料，這些帳戶是從組織加入 DevOps Guru。如需委派管理員如何管理組織帳戶的資訊，請參閱*《Amazon DevOps Guru 使用者指南》*中的[監控組織中的帳戶](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。

只有組織管理帳戶中的管理員可以設定 DevOps Guru 的委派管理員。

您可以從 DevOps Guru 主控台，或使用 Organizations `RegisterDelegatedAdministrator`CLI 或 SDK 操作，指定委派管理員帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 DevOps Guru 的委派管理員

------
#### [ DevOps Guru console ]

**在 DevOps Guru 主控台中設定委派管理員**

1. 在管理帳戶中以管理員身分登入並開啟 DevOps Guru 主控台：[Amazon DevOps Guru 主控台](https://console.aws.amazon.com//devops-guru/management-account) 

1. 選擇 **Register delegated administrator (註冊委派管理員)**。您可以選擇管理帳戶或任何成員帳戶作為委派管理員。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal devops-guru.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 DevOps Guru 的委派管理員
<a name="integrate-disable-da-devops"></a>

 您可以使用 DevOps Guru 主控台或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。如需有關如何使用 DevOps Guru 主控台移除委派管理員的資訊，請參閱*《Amazon DevOps Guru 使用者指南》*中的[監控組織中的帳戶](https://docs.aws.amazon.com//devops-guru/latest/userguide/getting-started-multi-account.html)。

# AWS Directory Service 而且 AWS Organizations
<a name="services-that-can-integrate-directory-service"></a>

AWS Directory Service for Microsoft Active Directory 或 AWS Managed Microsoft AD可讓您以受管服務的形式執行 Microsoft Active Directory (AD)。 AWS Directory Service 可讓您輕鬆地在 AWS 雲端中設定和執行目錄，或將您的 AWS 資源與現有的內部部署 Microsoft Active Directory 連線。 AWS Managed Microsoft AD 也與 緊密整合 AWS Organizations ，以允許跨區域中的多個 AWS 帳戶 和任何 VPC 無縫共用目錄。如需詳細資訊，請參閱 [AWS Directory Service 管理員指南](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)。

若要 Directory Service 跨組織共用 ，組織必須啟用**所有功能**，且目錄必須位於組織管理帳戶中。

使用下列資訊來協助您 AWS Directory Service 整合 AWS Organizations。



## 使用 啟用受信任存取 Directory Service
<a name="integrate-enable-ta-directory-service"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Directory Service 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Directory Service 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Directory Service 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Directory Service提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Directory Service 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 Directory Service 主控台啟用受信任存取**  
若要共享自動啟用受信任存取的目錄，請參閱*AWS Directory Service 管理指南*中的[共享您的目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)。如需step-by-step說明，請參閱[教學課程：共用您的 AWS 受管 Microsoft AD 目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html)。

您可以使用 AWS Organizations 主控台啟用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Directory Service** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Directory Service**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Directory Service ，他們現在可以 AWS Organizations 從服務主控台 啟用該服務來使用 。

------

## 使用 停用受信任存取 Directory Service
<a name="integrate-disable-ta-directory-service"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

 如果您在使用 AWS Organizations 時停用 的受信任存取 Directory Service，則所有先前共用的目錄都會繼續正常運作。不過，您不再能夠以在組織內共享新目錄，直到您重新啟用信任的存取為止。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台停用受信任存取。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Directory Service** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Directory Service**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Directory Service ，他們現在可以使用 服務 AWS Organizations 主控台或工具停用該服務。

------

# Amazon Elastic Compute Cloud 和 AWS Organizations
<a name="services-that-can-integrate-ec2"></a>

Amazon Elastic Compute Cloud 在 AWS 雲端中提供隨需、可擴展的運算容量。當您搭配 Organizations 使用 Amazon EC2 時，您可以讓 Organizations 管理員在使用 Amazon EC2 [的宣告政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)功能後，建立其組織中帳戶現有組態的報告。

使用以下資訊來協助您整合 Amazon Elastic Compute Cloud 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ec2"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色可讓 Amazon EC2 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 Amazon EC2 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForDeclarativePoliciesEC2Report`

## Amazon EC2 使用的服務主體
<a name="integrate-enable-svcprin-ec2"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon EC2 使用的服務連結角色會將存取權授予下列服務主體：
+ `ec2.amazonaws.com`

## 使用 Amazon EC2 啟用受信任存取
<a name="integrate-enable-ta-ec2"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

若要讓 Organizations 管理員建立其組織中帳戶現有組態的報告，您必須啟用受信任的存取。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在 服務清單中**，選擇 EC2 的宣告政策**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 EC2 宣告政策的受信任存取**對話方塊中，輸入 **Enable** 進行確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Elastic Compute Cloud 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 Amazon Elastic Compute Cloud 啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ec2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用受信任存取權
<a name="integrate-disable-ta-ec2"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon Elastic Compute Cloud 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ec2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# EC2 容量管理員和 AWS Organizations
<a name="services-that-can-integrate-ec2-capacity-manager"></a>

EC2 Capacity Manager 是一種新的 UI 體驗，隨附 APIs 可讓您彙總、檢視、分析和管理跨 EC2 隨需、Spot 和容量預留的容量使用量。當您將 EC2 Capacity Manager 的受信任存取權授予您的 AWS Organization 時，該服務會取得在所有成員帳戶中讀取組織成員資格資訊的許可。具體而言，Capity Manager 會在成員帳戶中執行下列動作：它會從所有成員帳戶收集 EC2 用量資料 （包括隨需執行個體、 spot 執行個體和容量保留），以彙總到整個組織的容量報告和儀表板。服務不會修改成員帳戶中的資源或組態，只會讀取已收集的用量遙測資料 AWS。這可讓組織管理員從單一儀表板檢視合併容量使用率、預測未來需求，以及最佳化整個組織的資源分配。如需詳細資訊，請參閱《Amazon [EC2 使用者指南》中的 EC2 Capacity Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-manager.html)。 *Amazon EC2 * 

使用以下資訊來協助您將 EC2 Capacity Manager 與 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ec2-capacity-manager"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色可讓 EC2 Capacity Manager 在組織中的組織帳戶中執行支援的操作。

只有在停用 EC2 Capacity Manager 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，您才可以刪除或修改此角色。

當您啟用受信任存取時，會在 管理帳戶中建立下列服務連結角色。此角色允許 EC2 Capacity Manager 代表您在組織及其帳戶中執行任務。

只有在停用 EC2 Capacity Manager 與 之間的受信任存取 AWS Organizations，或是從組織移除成員帳戶時，您才可以刪除或修改此角色。如需詳細資訊，請參閱《Amazon [ EC2 使用者指南》中的使用 EC2 Capacity Manager 的服務連結角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-service-linked-roles-cm.html)和[AWS 受管政策：AWSEC2CapacityManagerServiceRolePolicy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSEC2CapacityManagerServiceRolePolicy)。 *Amazon EC2 *
+ `AWSServiceRoleForEC2CapacityManager` – 允許 EC2 Capacity Manager 代表您存取 EC2 Capacity Manager 使用或管理 AWS 的服務和資源。

## EC2 Capacity Manager 使用的服務主體
<a name="integrate-enable-svcprin-ec2-capacity-manager"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。EC2 Capacity Manager 使用的服務連結角色會將存取權授予下列服務主體：
+ `ec2.capacitymanager.amazonaws.com`

## 使用 EC2 Capacity Manager 啟用受信任存取
<a name="integrate-enable-ta-ec2-capacity-manager"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您將 EC2 Capacity Manager 的受信任存取權授予您的 AWS Organization 時，該服務會取得在所有成員帳戶中讀取組織成員資格資訊的許可。這可讓組織管理員從單一儀表板檢視合併容量使用率、預測未來需求，以及最佳化整個組織的資源分配。

您可以使用 EC2 Capacity Manager 主控台或 主控台來啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 EC2 Capacity Manager 主控台或工具來啟用與 Organizations 的整合。這可讓 EC2 Capacity Manager 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 EC2 Capacity Manager 提供的工具啟用整合時，才能繼續進行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 EC2 Capacity Manager 主控台或工具啟用受信任存取，則不需要完成這些步驟。

若要從 EC2 Capacity Manager 主控台啟用受信任存取，請以管理帳戶中的管理員身分登入並開啟 Amazon EC2 主控台。導覽至容量管理員，然後前往設定索引標籤。在信任存取區段中，選擇**管理信任存取**以啟用它。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **EC2 Capacity Manager**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 EC2 Capacity Manager 的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 EC2 Capacity Manager 的管理員，他們現在可以 AWS Organizations 從服務主控台啟用該服務來使用 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 EC2 Capacity Manager 啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用受信任存取權
<a name="integrate-disable-ta-ec2-capacity-manager"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

若要從 EC2 Capacity Manager 主控台停用受信任存取，請導覽至 Amazon EC2 Capacity Manager 設定索引標籤。在信任存取區段中，選擇**管理信任存取**以停用它。注意：在停用受信任存取之前，必須先移除所有委派管理員。

您可以使用 EC2 Capacity Manager 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 EC2 Capacity Manager 主控台或工具來停用與 Organizations 的整合。這可讓 EC2 Capacity Manager 執行其所需的任何清除，例如刪除服務不再需要的資源或存取角色。只有在您無法使用 EC2 Capacity Manager 提供的工具停用整合時，才能繼續進行這些步驟。  
如果您使用 EC2 Capacity Manager 主控台或工具停用受信任存取，則不需要完成這些步驟。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 EC2 Capacity Manager 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 EC2 Capacity Manager 的委派管理員帳戶
<a name="integrate-enable-da-ec2-capacity-manager"></a>

EC2 Capacity Manager 的委派管理員可以為組織管理容量管理員，而無需使用 管理帳戶。委派管理員能夠啟用組織層級容量管理、檢視所有成員帳戶的容量資料、修改帳戶層級和組織層級範圍之間的設定，以及管理整個組織的容量預測。如需詳細資訊，請參閱《Amazon [ EC2 使用者指南》中的 EC2 Capacity Manager 的委派管理員](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html)。 *Amazon EC2 *

**最低許可**  
只有 Organizations 管理帳戶中的管理員可以設定 EC2 Capacity Manager 的委派管理員。

您可以使用 EC2 Capacity Manager 主控台指定委派管理員帳戶，方法是導覽至設定和管理委派管理員，或使用 Organizations CLI 或 SDK `RegisterDelegatedAdministrator` 操作。若要使用 EC2 Capacity Manager 主控台設定委派管理員，請參閱《*Amazon EC2 使用者指南*》中的[新增委派管理員](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#add-capacity-manager-da)。

------
#### [ AWS CLI, AWS API ]

您可以使用 CLI 或其中一個 AWS SDKs AWS 註冊委派管理員帳戶：
+ AWS CLI：[register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  ```
  $ aws organizations register-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API：[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)

------

## 停用 EC2 Capacity Manager 的委派管理員帳戶
<a name="integrate-disable-da-ec2-capacity-manager"></a>

只有 Organizations 管理帳戶或 EC2 Capacity Manager 委派管理員帳戶中的管理員，才能從組織中移除委派管理員帳戶。您可以使用 EC2 Capacity Manager 主控台移除委派管理員，方法是在設定索引標籤中選擇**移除委派管理員**，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作。若要使用 EC2 Capacity Manager 主控台移除委派管理員，請參閱《*Amazon EC2 使用者指南*》中的[移除委派管理員](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enable-capacity-manager-da.html#remove-capacity-manager-da)。

------
#### [ AWS CLI, AWS API ]

您可以使用 CLI 或其中一個 AWS SDKs AWS 移除委派管理員帳戶：
+ AWS CLI：[deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)

  ```
  $ aws organizations deregister-delegated-administrator \
      --account-id ACCOUNT_ID \
      --service-principal ec2.capacitymanager.amazonaws.com
  ```
+ AWS API：[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)

------

# Amazon Elastic Kubernetes Service 和 AWS Organizations
<a name="services-that-can-integrate-eks"></a>

Amazon Elastic Kubernetes Service Dashboard 是合併的儀表板，可用來監控、管理和了解跨多個 AWS 區域和 AWS 帳戶的 Kubernetes 叢集。EKS 儀表板透過集中式界面，為您的 Amazon EKS 基礎設施提供全面的控制和洞察。

Amazon Elastic Kubernetes Service Dashboard 可讓您追蹤排程升級的叢集、專案控制平面成本、檢閱叢集洞見，以及監控整個組織的節點群組分佈。您的 AWS 管理員可以透過圖形、資源清單和地理地圖等不同的視覺化選項，檢視有關叢集資源的彙總資料，包括運作狀態、版本分佈和附加元件組態。儀表板會與 AWS Organizations 整合，以提供 EKS 資源的安全跨帳戶和跨區域可見性。

使用以下資訊來協助您整合 Amazon Elastic Kubernetes Service 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-eks"></a>

 當您使用 Amazon Elastic Kubernetes Service 主控台啟用受信任存取時，系統會自動在組織的管理帳戶中建立下列服務連結角色。此角色可讓 Amazon EKS 在您組織中的組織帳戶中執行支援的操作。只有在您停用 Amazon Elastic Kubernetes Service 和 Organizations 之間的受信任存取時，才能刪除或修改此角色。

如果您直接從 Organizations 主控台、CLI 或 SDK 啟用受信任存取，則不會自動建立服務連結角色。
+ `AWSServiceRoleForAmazonEKSDashboard`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-eks"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon EKS 使用的服務連結角色會將存取權授予下列服務主體：
+ `dashboard.eks.amazonaws.com`

## 使用 Amazon EKS 啟用受信任存取
<a name="integrate-enable-ta-eks"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**使用 Amazon EKS 主控台啟用受信任存取**  
請參閱《*Amazon EKS 使用者指南*》中的[啟用受信任存取](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_trusted_access)。

## 使用 Amazon EKS 停用受信任存取
<a name="integrate-disable-ta-eks"></a>

**使用 Amazon EKS 主控台停用受信任存取**  
請參閱《*Amazon EKS 使用者指南*》中的[停用受信任存取](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_trusted_access)。

## 啟用 Amazon EKS 的委派管理員帳戶
<a name="integrate-enable-da-eks"></a>

管理帳戶管理員可以將 Amazon EKS 管理許可委派給稱為委派管理員的指定成員帳戶。

管理帳戶和委派管理員帳戶可以檢視 Amazon EKS 儀表板。

**啟用委派管理員帳戶**  
請參閱《*Amazon EKS 使用者指南*》中的[啟用委派管理員帳戶](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_enable_a_delegated_administrator_account)。

## 停用 Amazon EKS 的委派管理員
<a name="integrate-disable-da-eks"></a>

只有組織管理帳戶中的管理員可以設定 Amazon EKS 的委派管理員。

**停用委派管理員帳戶**  
請參閱《*Amazon EKS 使用者指南*》中的[停用委派管理員帳戶](https://docs.aws.amazon.com/eks/latest/userguide/cluster-dashboard-orgs.html#_disable_a_delegated_administrator_account)。

# AWS Firewall Manager 而且 AWS Organizations
<a name="services-that-can-integrate-fms"></a>

AWS Firewall Manager 是一種安全管理服務，可用來集中設定和管理組織中 和 AWS 帳戶 應用程式的防火牆規則和其他保護。使用 Firewall Manager，您可以推出 AWS WAF 規則、建立 AWS Shield Advanced 保護、設定和稽核 Amazon Virtual Private Cloud (Amazon VPC) 安全群組，以及部署 AWS Network Firewall。只需使用 Firewall Manager 設定一次防護，並將它們在您的組織內的所有帳戶和資源間自動套用，甚至是新增了新資源和帳戶亦然。如需 的詳細資訊 AWS Firewall Manager，請參閱 *[AWS Firewall Manager 開發人員指南](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*。

使用下列資訊來協助您 AWS Firewall Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-fms"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Firewall Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Firewall Manager 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForFMS`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-fms"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Firewall Manager 使用的服務連結角色會將存取權授予下列服務委託人：
+ `fms.amazonaws.com`

## 使用 Firewall Manager 啟用受信任存取
<a name="integrate-enable-ta-fms"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Firewall Manager 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Firewall Manager 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Firewall Manager 執行其所需的任何組態，例如建立 服務所需的資源。只有在您無法使用 AWS Firewall Manager提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Firewall Manager 主控台或工具啟用受信任存取，則不需要完成這些步驟。

您必須使用 AWS Organizations 管理帳戶登入，並將組織內的帳戶設定為 AWS Firewall Manager 管理員帳戶。如需詳細資訊，請參閱*AWS Firewall Manager 開發人員指南*中的[設定 AWS Firewall Manager 管理員帳戶](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Firewall Manager** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取的 AWS Firewall Manager**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Firewall Manager ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Firewall Manager 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal fms.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Firewall Manager 停用受信任存取
<a name="integrate-disable-ta-fms"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 AWS Firewall Manager 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Firewall Manager 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Firewall Manager 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Firewall Manager提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Firewall Manager 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 Firewall Manager 主控台來停用受信任的存取**  
您可以依照《 *AWS Firewall Manager 開發人員指南*》中將不同帳戶指定為管理員帳戶的指示， AWS Firewall Manager 來變更或撤銷管理員帳戶。 [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html)

如果您撤銷管理員帳戶，您必須登入 AWS Organizations 管理帳戶並設定新的管理員帳戶 AWS Firewall Manager。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Firewall Manager** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Firewall Manager**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Firewall Manager ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS Firewall Manager 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal fms.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Firewall Manager 的委派管理員帳戶
<a name="integrate-enable-da-fms"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Firewall Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Firewall Manager 的管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Firewall Manager 的委託管理員。

如需如何將成員帳戶指定為組織的 Firewall Manager 管理員的說明，請參閱《 *AWS Firewall Manager 開發人員指南*》中的[設定 AWS Firewall Manager 管理員帳戶](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html)。

# Amazon GuardDuty 和 AWS Organizations
<a name="services-that-can-integrate-guardduty"></a>

Amazon GuardDuty 是持續性安全監控服務，可分析和處理各種資料來源，並使用威脅智慧饋送和機器學習技術來識別您的 AWS 環境中的非預期和可能未經授權的惡意活動。這可能包括權限升級、使用暴露的憑證、與惡意 IP 地址、URL 或網域的通訊，或者 Amazon Elastic Compute Cloud 執行個體和容器工作負載中出現惡意軟體等問題。

您可以透過 Organizations 管理組織中所有帳戶的 GuardDuty，來協助簡化 GuardDuty 的管理。

如需詳細資訊，請參閱 *Amazon GuardDuty 使用者指南*中的[使用 AWS Organizations管理 GuardDuty 帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)

使用以下資訊來協助您整合 Amazon GuardDuty 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-guardduty"></a>

 當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下服務連結角色。這些角色允許 GuardDuty 在您組織的組織帳戶中執行支援的操作。只有在您停用 GuardDuty 與 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除此角色。
+ 會在已將 GuardDuty 與 Organizations 整合的帳戶中自動建立 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色。如需詳細資訊，請參閱 *Amazon GuardDuty 使用者指南*中的[使用 Organizations 管理 GuardDuty 帳戶](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ 會在已啟用 GuardDuty 惡意軟體防護的帳戶中自動建立 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服務連結角色。如需詳細資訊，請參閱 *Amazon GuardDuty 使用者指南*中的[用於 GuardDuty 惡意軟體防護的服務連結角色許可](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html)

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-guardduty"></a>
+ `guardduty.amazonaws.com`，由 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色使用。
+ `malware-protection.guardduty.amazonaws.com`，由 `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 服務連結角色使用。

## 使用 GuardDuty 來啟用受信任存取
<a name="integrate-enable-ta-guardduty"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Amazon GuardDuty 啟用受信任存取。

Amazon GuardDuty 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的 GuardDuty 管理員。如果您使用 GuardDuty 主控台設定委派管理員，則 GuardDuty 會自動為您啟用受信任的存取。

不過，如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，則必須明確呼叫 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 操作，並提供服務主體做為參數。然後，可以呼叫 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)，來委派 GuardDuty 管理員帳戶。

## 使用 GuardDuty 來停用受信任存取
<a name="integrate-disable-ta-guardduty"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon GuardDuty 做為 Organizations 的信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal guardduty.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 GuardDuty 的委派管理員帳戶
<a name="integrate-enable-da-guardduty"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 GuardDuty 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 GuardDuty 的管理分開。

**最低許可**  
如需將成員帳戶指定為委派管理員所需許可的相關資訊，請參閱*Amazon GuardDuty 使用者指南*中的[指定委派管理員所需的許可](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions)

**將成員帳戶指定為 GuardDuty 的委派管理員**  
請參閱[指定委派的管理員並新增成員帳戶 (主控台)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console)和[指定委派的管理員並新增成員帳戶 (API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)

# AWS Health 而且 AWS Organizations
<a name="services-that-can-integrate-health"></a>

AWS Health 可讓您持續了解資源效能，以及 AWS 服務 和 帳戶的可用性。當您 AWS 的資源和服務受到問題影響或即將受到變更影響時 AWS Health ， 會傳送事件。啟用組織檢視後，組織管理帳戶中的使用者可以彙總組織中所有帳戶 AWS Health 的事件。組織檢視只會顯示啟用此功能後交付 AWS Health 的事件，並保留 90 天。

您可以使用 AWS Health 主控台、 AWS Command Line Interface (AWS CLI) 或 AWS Health API 來啟用組織檢視。

如需詳細資訊，請參閱*AWS Health 《 使用者指南*》中的[彙總 AWS Health 事件](https://docs.aws.amazon.com/health/latest/ug/aggregate-events.html)。

使用下列資訊來協助您 AWS Health 整合 AWS Organizations。



## 整合的服務連結角色
<a name="integrate-enable-slr-health"></a>

`AWSServiceRoleForHealth_Organizations` 服務連結角色可讓 在您的組織帳戶中 AWS Health 執行支援的操作。

當您呼叫 [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) API 操作來啟用受信任存取時，系統會在組織的管理帳戶中自動建立此角色。否則，請使用 AWS Health 主控台、API 或 CLI 建立角色，如 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)所述。

只有在您停用 AWS Health 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-health"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS Health 授予存取權給下列服務主體的服務連結角色：
+ `health.amazonaws.com`

## 使用 啟用受信任存取 AWS Health
<a name="integrate-enable-ta-health"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您為 啟用組織檢視功能時 AWS Health，也會自動為您啟用受信任的存取。

您可以使用 AWS Health 主控台或 AWS Organizations 主控台啟用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Health 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Health 執行其所需的任何組態，例如建立 服務所需的資源。只有在您無法使用 AWS Health提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Health 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 AWS Health 主控台啟用受信任存取**  
您可以使用 AWS Health 和下列其中一個選項來啟用受信任存取：
+ 使用 AWS Health 主控台。如需詳細資訊，請參閱*AWS Health 使用者指南*中的[組織檢視 (主控台)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html)。
+ 使用 AWS CLI。如需詳細資訊，請參閱*AWS Health 使用者指南*中的[組織檢視 (CLI)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html)。
+ 呼叫 [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html) API 操作。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Health 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal health.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Health
<a name="integrate-disable-ta-health"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

停用組織檢視功能之後， 會 AWS Health 停止彙總組織中所有其他帳戶的事件。這也會為您自動停用受信任存取。

您可以使用 AWS Health 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Health 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Health 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Health提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Health 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 AWS Health 主控台停用受信任存取**  
您可以使用以下其中一個選項來停用受信任存取：
+ 使用 AWS Health 主控台。如需詳細資訊，請參閱*AWS Health 使用者指南*中的[停用組織檢視 (主控台)](https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html#disabling-organizational-view-console)。
+ 使用 AWS CLI。如需詳細資訊，請參閱*AWS Health 使用者指南*中的[停用組織檢視 (CLI)](https://docs.aws.amazon.com//health/latest/ug/enable-organizational-view-from-aws-command-line.html#disabling-organizational-view)。
+ 呼叫 [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html) API 操作。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Health 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal health.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 的委派管理員帳戶 AWS Health
<a name="integrate-enable-da-health"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 AWS Health 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 AWS Health的管理分開。

**將成員帳戶指定為 的委派管理員 AWS Health**  
參見[註冊委派管理員以進行組織檢視](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#register-a-delegated-administrator)

**移除 的委派管理員 AWS Health**  
參見[移除組織檢視中的委派管理員](https://docs.aws.amazon.com/health/latest/ug/delegated-administrator-organizational-view.html#remove-a-delegated-administrator)

# AWS Identity and Access Management 而且 AWS Organizations
<a name="services-that-can-integrate-iam"></a>

AWS Identity and Access Management 是一種 Web 服務，可安全地控制對 AWS 服務的存取。

您可以在 IAM 中使用[上次存取的服務資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)，以協助您更好地了解整個組織的 AWS 活動。您可以使用此資料來建立和更新[服務控制政策 (SCP)](orgs_manage_policies_scps.md)，將存取限制在僅限您組織帳戶所用的 AWS 服務。

如需範例，請參閱 *IAM 使用者指南*中的[使用資料來精簡組織單位的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)中的

IAM 可讓您集中管理根使用者憑證，並在成員帳戶上執行特權任務。在 中啟用啟用 IAM 受信任存取的根存取管理之後 AWS Organizations，您可以集中保護成員帳戶的根使用者憑證。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。IAM 的管理帳戶或委派管理員帳戶也可以使用短期根存取權，對成員帳戶執行一些特殊權限任務。短期特權工作階段會為您提供臨時憑證，以便您可以確定相關範圍，對組織中的成員帳戶採取特權動作。

如需詳細資訊，請參閱《 IAM 使用者指南》**中的[集中管理成員帳戶的根存取權](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。

使用下列資訊來協助您 AWS Identity and Access Management 整合 AWS Organizations。

## 使用 IAM 啟用受信任存取
<a name="integrate-enable-ta-iam"></a>

當您啟用根存取管理時， 中的 IAM 會啟用受信任存取 AWS Organizations。

## 使用 IAM 停用受信任存取
<a name="integrate-disable-ta-iam"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS Identity and Access Management。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Identity and Access Management** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Identity and Access Management**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Identity and Access Management ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS Identity and Access Management 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 IAM 的委派管理員帳戶
<a name="integrate-enable-da-iam"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對成員帳戶執行特權任務，否則只能由組織管理帳戶中的使用者或角色執行。如需詳細資訊，請參閱《IAM 使用者指南》中的[在 Organizations 成員帳戶上執行特權任務](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html)。

只有組織管理帳戶中的管理員可以設定 IAM 的委派管理員。

您可以從 IAM 主控台或 API，或使用 Organizations CLI 或 SDK 操作來指定委派管理員帳戶。

## 停用 IAM 的委派管理員
<a name="integrate-disable-da-iam"></a>

只有 Organizations 管理帳戶或 IAM 委派管理員帳戶中的管理員，才能從組織中移除委派管理員帳戶。您可以使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來停用委派的管理。

# Amazon Inspector 和 AWS Organizations
<a name="services-that-can-integrate-inspector2"></a>

Amazon Inspector 是一項自動化漏洞管理服務，可持續掃描 Amazon EC2 和容器工作負載，以尋找軟體漏洞和意外的網路暴露。

使用 Amazon Inspector，您只需委派 Amazon Inspector 的管理員帳戶 AWS Organizations ，即可管理透過 建立關聯的多個帳戶。委派管理員管理組織的 Amazon Inspector，並被授予代表組織執行任務所需的特殊許可，例如：
+ 啟用或停用成員帳戶掃描
+ 檢視整個組織的彙總問題清單資料
+ 建立和管理隱藏規則

如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[使用 AWS Organizations管理多個帳戶](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)。

使用以下資訊來協助您整合 Amazon Inspector 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-inspector2"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Amazon Inspector 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Amazon Inspector 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForAmazonInspector2`

如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[將服務連結角色用於 Amazon Inspector](https://docs.aws.amazon.com//inspector/latest/user/using-service-linked-roles.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-inspector2"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Inspector 使用的服務連結角色會將存取權授予下列服務委託人：
+ `inspector2.amazonaws.com`

## 使用 Amazon Inspector 啟用受信任存取
<a name="integrate-enable-ta-inspector2"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

Amazon Inspector 需要 的受信任存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

當您指定 Amazon Inspector 的委派管理員時，Amazon Inspector 會自動啟用組織中 Amazon Inspector 的受信任存取。

 不過，如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，則必須明確呼叫 `EnableAWSServiceAccess`操作，並提供 服務主體做為參數。然後，您可以呼叫 `EnableDelegatedAdminAccount` 以委派 Inspector 管理員帳戶。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，讓 Amazon Inspector 成為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

**注意**  
如果您使用 `EnableAWSServiceAccess` API，您還需要呼叫 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) 以委派 Inspector 管理員帳戶。

## 使用 Amazon Inspector 來停用受信任存取
<a name="integrate-disable-ta-inspector2"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 Amazon Inspector 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon Inspector 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Amazon Inspector 的委派管理員帳戶
<a name="integrate-enable-da-inspector2"></a>

透過 Amazon Inspector，您可以使用委派管理員 AWS Organizations 與服務來管理組織中的多個帳戶。

 AWS Organizations 管理帳戶會將組織內的帳戶指定為 Amazon Inspector 的委派管理員帳戶。委派管理員管理組織的 Amazon Inspector，並被授予代表組織執行任務所需的特殊許可，例如：啟用或停用成員帳戶掃描、檢視整個組織的彙總問題清單資料，以及建立和管理隱藏規則

 如需有關委派管理員如何管理組織帳戶的資訊，請參閱《Amazon Inspector 使用者指南》**中的[了解管理員和成員帳戶之間的關係](https://docs.aws.amazon.com//inspector/latest/user/admin-member-relationship.html)。

只有組織管理帳戶中的管理員可以設定 Amazon Inspector 的委派管理員。

您可以從 Amazon Inspector 主控台或 API，或使用 Organizations CLI 或 SDK 操作，指定委派管理員帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Amazon Inspector 的委派管理員

若要使用 Amazon Inspector 主控台設定委派管理員，請參閱《Amazon Inspector 使用者指南》**中的[步驟 1：啟用 Amazon Inspector - 多帳戶環境](https://docs.aws.amazon.com//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans)。

**注意**  
您必須在您使用 Amazon Inspector 的每個區域中呼叫 `inspector2:enableDelegatedAdminAccount`。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Amazon Inspector 的委派管理員
<a name="integrate-disable-da-inspector2"></a>

只有 AWS Organizations 管理帳戶中的管理員可以從組織中移除委派的管理員帳戶。

您可以使用 Amazon Inspector 主控台或 API，或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。若要使用 Amazon Inspector 主控台移除委派管理員，請參閱《Amazon Inspector 使用者指南》**中的[移除委派管理員](https://docs.aws.amazon.com//inspector/latest/user/remove-delegated-admin.html)。

# AWS License Manager 而且 AWS Organizations
<a name="services-that-can-integrate-license-manager"></a>

AWS License Manager 簡化將軟體廠商授權帶到雲端的程序。在建置雲端基礎設施時 AWS，您可以使用bring-your-own-license(BYOL) 機會來節省成本，也就是重新利用現有的授權庫存以搭配雲端資源使用。有了規則為基礎的授權消費限制，管理員即可針對現有雲端部署設定嚴格或寬鬆的限制，藉此預防不合規伺服器使用情形發生。

如需有關 License Manager 的詳細資訊，請參閱 [License Manager 使用者指南](https://docs.aws.amazon.com/license-manager/latest/userguide/)。

透過將 License Manager 與 連結 AWS Organizations，您可以：
+ 在組織中實現運算資源的跨帳戶探索。
+ 檢視和管理您擁有的並在 AWS上執行的商業 Linux 訂閱。如需詳細資訊，請參閱 [AWS License Manager中的 Linux 訂閱](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions.html)。

使用下列資訊來協助您 AWS License Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-license-manager"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。這些角色允許 License Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 License Manager 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能移除或修改角色。
+ `AWSLicenseManagerMasterAccountRole`
+ `AWSLicenseManagerMemberAccountRole`
+ `AWSServiceRoleForAWSLicenseManagerRole`
+ `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService`

如需詳細資訊，請參閱 [License Manager – 管理帳戶角色](https://docs.aws.amazon.com/license-manager/latest/userguide/management-role.html)、[License Manager – 成員帳戶角色](https://docs.aws.amazon.com/license-manager/latest/userguide/member-role.html)和 [License Manager – Linux 訂閱角色](https://docs.aws.amazon.com/license-manager/latest/userguide/linux-subscriptions-role.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-license-manager"></a>

 上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。License Manager 使用的服務連結角色會將存取權授予下列服務委託人：
+ `license-manager.amazonaws.com`
+ `license-manager.member-account.amazonaws.com`
+ `license-manager-linux-subscriptions.amazonaws.com`

## 使用 License Manager 來啟用受信任存取
<a name="integrate-enable-ta-license-manager"></a>

您只能使用 啟用受信任的存取 AWS License Manager。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**使用 License Manager 來啟用受信任存取**  
您必須使用您的 AWS Organizations 管理帳戶登入 License Manager 主控台，並將其與您的 License Manager 帳戶建立關聯。如需詳細資訊，請參閱 [中的設定 AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html)。

## 使用 License Manager 來停用受信任存取
<a name="integrate-disable-ta-license-manager"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  您可以執行下列命令來停用 AWS License Manager 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal license-manager.amazonaws.com
  ```

  此命令成功後就不會產生輸出。

  若要停用 Linux 訂閱的受信任存取，請使用：

  ```
  $  aws organizations disable-aws-service-access \
      --service-principal license-manager-linux-subscriptions.amazonaws.com
  ```
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 License Manager 的委派管理員帳戶
<a name="integrate-enable-da-license-manager"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 License Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 License Manager 的管理分開。

若要將成員帳戶委派為 License Manager 的管理員，請遵循*License Manager 使用者指南*中的[註冊委派管理員](https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html#delegated-administrator)。

# AWS Managed Services (AMS) 自助服務報告 (SSR) 和 AWS Organizations
<a name="services-that-can-integrate-managed-services"></a>

[AWS Managed Services (AMS) 自助式報告 (SSR)](https://aws.amazon.com/managed-services) 會從各種原生 AWS 服務收集資料，並提供主要 AMS 產品報告的存取權。SSR 提供可用來支援操作、組態管理、資產管理、安全管理和合規的資訊。

與 整合後 AWS Organizations，您可以啟用彙總自助式報告 (SSR)。這是一項 AMS 功能，可讓進階和加速客戶檢視他們在組織層級跨帳戶彙總的現有自助式服務報告。這可讓您查看重要操作指標，例如修補程式合規、備份涵蓋範圍，以及其中所有 AMS 受管帳戶的事件 AWS Organizations。

使用以下資訊來協助您整合 AWS Managed Services (AMS) 自助服務報告 (SSR) AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-managed-services"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色可讓 AMS 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 AMS 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForManagedServices_SelfServiceReporting`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-managed-services"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。AMS 使用的服務連結角色會將存取權授予下列服務主體：
+ `selfservicereporting.managedservices.amazonaws.com`

## 使用 AMS 啟用受信任存取
<a name="integrate-enable-ta-managed-services"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 AWS Managed Services (AMS) 自助式服務報告 (SSR) 啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal selfservicereporting.managedservices.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 AMS 停用受信任存取
<a name="integrate-disable-ta-managed-services"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 AWS Managed Services (AMS) 自助式服務報告 (SSR) 停用為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal selfservicereporting.managedservices.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 AMS 的委派管理員帳戶
<a name="integrate-enable-da-managed-services"></a>

委派的管理員帳戶可以在 AMS 主控台的單一彙總檢視中檢視所有帳戶的 AMS 報告 （例如修補程式和備份）。

您可以使用 AMS 主控台或 API，或使用 Organizations CLI 或 SDK `RegisterDelegatedAdministrator` 操作來新增委派管理員。

## 停用 AMS 的委派管理員
<a name="integrate-disable-da-managed-services"></a>

只有組織管理帳戶中的管理員可以設定 AMS 的委派管理員。

您可以使用 AMS 主控台或 API，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派管理員。

# Amazon Macie 和 AWS Organizations
<a name="services-that-can-integrate-macie"></a>

Amazon Macie 是一種全受管資料安全和資料隱私權服務，該服務使用機器學習和模式比對來探索、監控和協助您保護 Amazon Simple Storage Service (Amazon S3) 中的敏感資料。Macie 會自動探索敏感資料，例如個人身分識別資訊 (PII) 和智慧財產權，讓您更清楚了解組織在 Amazon S3 中存放在的資料。

如需詳細資訊，請參閱*[Amazon Macie 使用者指南](https://docs.aws.amazon.com/macie/latest/userguide/)*中的[使用 AWS Organizations管理 Amazon Macie 帳戶](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html)。

使用以下資訊來協助您整合 Amazon Macie 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-macie"></a>

當您啟用受信任存取時，會自動為您組織的委派 Macie 管理員帳戶建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Macie 為您組織的帳戶執行支援的操作。

只有在您停用 Macie 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除此角色。
+ `AWSServiceRoleRorAmazonMacie`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-macie"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Macie 使用的服務連結角色會將存取權授予下列服務委託人：
+ `macie.amazonaws.com`

## 使用 Macie 來啟用受信任存取
<a name="integrate-enable-ta-macie"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 Amazon Macie 主控台或 AWS Organizations 主控台來啟用受信任存取。

**重要**  
強烈建議您盡可能使用 Amazon Macie 主控台或工具來啟用與 Organizations 整合。這可讓 Amazon Macie 執行其需要的任何組態，例如建立服務所需的資源。只有在您無法使用 Amazon Macie 提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 Amazon Macie 主控台或工具啟用受信任的存取，則不需要完成這些步驟。

**使用 Amazon Macie 主控台來啟用受信任存取**  
Amazon Macie 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的 Macie 管理員。如果您使用 Macie 管理主控台設定委派管理員，則 Macie 會自動為您啟用受信任的存取。

如需詳細資訊，請參閱 *Amazon Macie 使用者指南*中的[在 Amazon Macie 中整合和設定組織](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html)。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，讓 Amazon Macie 成為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal macie.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 啟用 Macie 的委派管理員帳戶
<a name="integrate-enable-da-macie"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Macie 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Macie 的管理分開。

**最低許可**  
只有具有下列許可之 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Macie 的委託管理員：  
`organizations:EnableAWSServiceAccess`
`macie:EnableOrganizationAdminAccount`

**將成員帳戶指定為 Macie 的委派管理員**  
Amazon Macie 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的 Macie 管理員。如果您使用 Macie 管理主控台設定委派管理員，則 Macie 會自動為您啟用受信任的存取。

如需詳細資訊，請參閱 [https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin](https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin)

# AWS Marketplace 而且 AWS Organizations
<a name="services-that-can-integrate-marketplace"></a>

AWS Marketplace 是精選的數位目錄，可讓您用來尋找、購買、部署和管理第三方軟體、資料和服務，而您需要這些軟體、資料和服務來建置解決方案並執行您的業務。

AWS Marketplace 會使用 建立和管理授權 AWS License Manager ，以用於 中的購買 AWS Marketplace。當您與組織中的其他帳戶共享您的授權 (授予存取權) 時， AWS Marketplace 會為這些帳戶建立和管理新的授權。

如需詳細資訊，請參閱 *AWS Marketplace 買家指南*中的 [AWS Marketplace的服務連結角色](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html)。

使用下列資訊來協助您 AWS Marketplace 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-marketplace"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 AWS Marketplace 執行支援的操作。

只有在您停用 AWS Marketplace 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForMarketplaceLicenseManagement`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-marketplace"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS Marketplace 授予存取權給下列服務主體的服務連結角色：
+ `license-management.marketplace.amazonaws.com`

## 使用 啟用受信任存取 AWS Marketplace
<a name="integrate-enable-ta-marketplace"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Marketplace 主控台或 AWS Organizations 主控台啟用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Marketplace 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Marketplace 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Marketplace提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Marketplace 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 AWS Marketplace 主控台啟用受信任存取**  
請參閱《 *AWS Marketplace 買方指南*》中的[為 建立服務連結角色 AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html#buyer-creating-service-linked-role)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Marketplace** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取的 AWS Marketplace**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Marketplace ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Marketplace 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal license-management.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Marketplace
<a name="integrate-disable-ta-marketplace"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Marketplace 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal license-management.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS Marketplace 私有市集和 AWS Organizations
<a name="services-that-can-integrate-private-marketplace"></a>

AWS Marketplace 是精選的數位目錄，可用來尋找、購買、部署和管理建置解決方案和執行業務所需的第三方軟體、資料和服務。私有市場為您提供廣泛的 產品目錄 AWS Marketplace，以及這些產品的精細控制。

AWS Marketplace Private Marketplace 可讓您建立與整個組織、一或多個 OUs 或組織中一或多個帳戶相關聯的多個私有市場體驗，每個帳戶都有自己的一組核准產品。您的 AWS 管理員也可以使用公司或團隊的標誌、訊息和顏色方案，將公司品牌套用到每個私有市場體驗。

如需詳細資訊，請參閱《 *AWS Marketplace 買方指南*》中的[使用角色在 中設定 Private Marketplace AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/using-service-linked-roles-private-marketplace.html)。

使用以下資訊來協助您整合 AWS Marketplace Private Marketplace 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-private-marketplace"></a>

 當您使用 AWS Marketplace Private Marketplace 主控台啟用受信任存取時，系統會自動在組織的管理帳戶中建立下列服務連結角色。此角色允許 Private Marketplace 在組織中的組織帳戶中執行支援的操作。只有在您停用 AWS Marketplace Private Marketplace 和 Organizations 之間的受信任存取，並取消組織中所有私有市集體驗的關聯時，才能刪除或修改此角色。

如果您直接從 Organizations 主控台、CLI 或 SDK 啟用受信任存取，則不會自動建立服務連結角色。
+ `AWSServiceRoleForPrivateMarketplaceAdmin`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-private-marketplace"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Private Marketplace 使用的服務連結角色會將存取權授予下列服務主體：
+ `private-marketplace.marketplace.amazonaws.com`

## 使用 Private Marketplace 啟用受信任存取
<a name="integrate-enable-ta-private-marketplace"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Marketplace Private Marketplace 主控台或 主控台來啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Marketplace Private Marketplace 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Marketplace Private Marketplace 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Marketplace Private Marketplace 提供的工具啟用整合時，才能繼續進行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Marketplace Private Marketplace 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 Private Marketplace 主控台啟用受信任存取**  
請參閱《 *AWS Marketplace 買方指南*》中的 [Private Marketplace 入門](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-getting-started)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**AWS Marketplace 私有 Marketplace**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 AWS Marketplace Private Marketplace 的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS Marketplace Private Marketplace 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令以啟用 AWS Marketplace Private Marketplace 做為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal private-marketplace.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Private Marketplace 停用受信任存取
<a name="integrate-disable-ta-private-marketplace"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS Marketplace Private Marketplace 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal private-marketplace.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Private Marketplace 的委派管理員帳戶
<a name="integrate-enable-da-private-marketplace"></a>

管理帳戶管理員可以將 Private Marketplace 管理許可委派給稱為委派管理員的指定成員帳戶。若要將帳戶註冊為私有市集的委派管理員，管理帳戶管理員必須確保啟用受信任存取和服務連結角色，選擇**註冊新的管理員**，提供 12 位數 AWS 的帳號，然後選擇**提交**。

管理帳戶和委派管理員帳戶可以執行 Private Marketplace 管理任務，例如建立體驗、更新品牌設定、關聯或取消關聯對象、新增或移除產品，以及核准或拒絕待處理的請求。

若要使用 Private Marketplace 主控台設定委派管理員，請參閱《 *AWS Marketplace 買方指南*》中的[建立和管理私有市集](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing)。

 您也可以使用 Organizations `RegisterDelegatedAdministrator` API 來設定委派管理員。如需詳細資訊，請參閱 *Organizations Command Reference* (Organizations 命令參考) 中的 [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)。

## 停用 Private Marketplace 的委派管理員
<a name="integrate-disable-da-private-marketplace"></a>

只有組織管理帳戶中的管理員可以設定 Private Marketplace 的委派管理員。

您可以使用 Private Marketplace 主控台或 API，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派管理員。

 若要使用 Private Marketplace 主控台停用委派的管理員私有 Marketplace 帳戶，請參閱《 *AWS Marketplace 買方指南*》中的[建立和管理私有市集](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-managing) 

# AWS Marketplace 採購洞察儀表板和 AWS Organizations
<a name="services-that-can-integrate-procurement-insights"></a>

您可以使用 AWS Marketplace 採購洞察儀表板來檢視組織中所有 AWS 帳戶的協議和成本分析資料。與 Organizations 整合時， AWS Marketplace 採購洞察儀表板會接聽組織變更，例如加入組織的帳戶，並彙總其對應協議的資料以建置其儀表板。

如需詳細資訊，請參閱《 *AWS Marketplace 買方指南*》中的[採購洞察](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)。

使用以下資訊來協助您整合 AWS Marketplace 採購洞察儀表板 AWS Organizations。



## 啟用整合時建立的服務連結角色和受管政策
<a name="integrate-enable-slr-procurement-insights"></a>

 當您啟用 AWS Marketplace 採購洞察儀表板時，即會建立[https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-service-linked-role-procurement.html)服務連結角色和[https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights) AWS 受管政策。

## 使用 AWS Marketplace 採購洞見啟用受信任存取
<a name="integrate-enable-ta-procurement-insights"></a>

啟用受信任存取可讓 AWS Marketplace 採購洞察儀表板與客戶的 Organizations 服務整合。 AWS Marketplace 採購洞察儀表板會聆聽組織變更，例如加入組織的帳戶，並彙總其對應協議的資料以建置其儀表板。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Marketplace 採購洞察儀表板主控台或 主控台來啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Marketplace 採購洞察儀表板主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Marketplace 採購洞察儀表板執行所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Marketplace 採購洞見儀表板提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Marketplace 採購洞察儀表板主控台或工具啟用受信任存取，則不需要完成這些步驟。

**啟用 AWS Marketplace 採購洞察儀表板以啟用受信任存取**  
請參閱《 *AWS Marketplace 買方指南*》中的[啟用 AWS Marketplace 採購洞察儀表板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/enabling-procurement-insights.html)。

**使用 Organizations 工具啟用受信任存取**

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在 服務清單中選擇**AWS Marketplace 採購洞察儀表板**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 AWS Marketplace 採購洞見的受信任存取儀表板**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS Marketplace 採購洞見儀表板的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 AWS Marketplace 採購洞察儀表板啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal procurement-insights.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 AWS Marketplace 採購洞見停用受信任存取
<a name="integrate-disable-ta-procurement-insights"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 AWS Marketplace 採購洞察儀表板停用為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal procurement-insights.marketplace.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用委派管理員帳戶以取得 AWS Marketplace 採購洞見
<a name="integrate-enable-da-procurement-insights"></a>

若要在 AWS Marketplace 採購洞察主控台中設定委派管理員，請參閱《 *AWS Marketplace 買方指南*》中的[註冊委派管理員>](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-register-delegate)。

 您也可以使用 Organizations `RegisterDelegatedAdministrator` API 來設定委派管理員。如需詳細資訊，請參閱 *Organizations Command Reference* (Organizations 命令參考) 中的 [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)。

## 停用委派管理員以取得 AWS Marketplace 採購洞見
<a name="integrate-disable-da-procurement-insights"></a>

只有組織管理帳戶中的管理員可以為 AWS Marketplace 採購洞察設定委派管理員。

若要透過 AWS Marketplace 採購洞察主控台移除委派管理員，請參閱《 *AWS Marketplace 買方指南*》中的[取消註冊委派管理員](https://docs.aws.amazon.com/marketplace/latest/buyerguide/management-delegates.html#management-deregister-delegate)。

您也可以使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派管理員。

# AWS Network Manager 和 AWS Organizations
<a name="services-that-can-integrate-network-manager"></a>

Network Manager 可讓您跨 AWS 帳戶、區域和 AWS 內部部署位置集中管理 AWS Cloud WAN 核心網路和 Transit Gateway 網路。透過多帳戶支援，您可以為任何 AWS 帳戶建立單一全球網路，並使用 Network Manager 主控台註冊從多個帳戶到全球網路的傳輸閘道。

啟用 Network Manager 和 Organizations 之間受信任的存取權後，已註冊的委派管理員和管理帳戶可以利用成員帳戶中部署的服務連結角色來描述連接至全域網路的資源。在 Network Manager 主控台中，註冊的委派管理員和管理帳戶可以承擔在成員帳戶中部署的自訂 IAM 角色：`CloudWatch-CrossAccountSharingRole` 用於多帳戶監控和事件，以及 `IAMRoleForAWSNetworkManagerCrossAccountResourceAccess` 用於主控台交換機角色存取權限，以查看和管理多帳戶資源。

**重要**  
我們強烈建議使用 Network Manager 主控台來管理多帳戶設定 (啟用/停用受信任的存取權，以及註冊/取消註冊委派管理員)。若從主控台管理這些設定，即會自動將所有必需的服務連結角色和自訂 IAM 角色部署和管理至多帳戶存取所需的成員帳戶。
 當您在 Network Manager 主控台中啟用 Network Manager 的受信任存取時，主控台也會啟用 CloudFormation StackSets 服務。Network Manager 使用 StackSets 部署多帳戶管理所需的自訂 IAM 角色。

如需有關將 Network Manager 與組織整合的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 AWS Organizations管理多個 Network Manager 中的帳戶](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。

使用以下資訊來協助您整合 AWS Network Manager 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-network-manager"></a>

當您啟用受信任存取時，會在列出的組織帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。這些角色允許 Network Manager 在您組織的帳戶中執行支援的操作。如果停用受信任的存取，Network Manager 將不會從組織中的帳戶刪除這些角色。您可以使用 IAM 主控台手動將其刪除。

管理帳戶
+  `AWSServiceRoleForNetworkManager`
+ `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`
+  `AWSServiceRoleForCloudWatchCrossAccount`

成員帳戶
+  `AWSServiceRoleForNetworkManager`
+ ` AWSServiceRoleForCloudFormationStackSetsOrgMember`

當您將成員帳戶註冊為委派管理員時，將在委派管理員帳戶中自動建立以下附加角色：
+  `AWSServiceRoleForCloudWatchCrossAccount`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-network-manager"></a>

服務連結角色只能由依據角色定義的信任關係所授權的服務主體來假設。
+ 對於 `AWSServiceRoleForNetworkManager service-linked` 角色，`networkmanager.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudFormationStackSetsOrgMember` 服務連結角色，`member.org.stacksets.cloudformation.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudFormationStackSetsOrgAdmin` 服務連結角色，`stacksets.cloudformation.amazonaws.com` 是唯一具有存取權限的服務主體。
+ 對於 `AWSServiceRoleForCloudWatchCrossAccount` 服務連結角色，`cloudwatch-crossaccount.amazonaws.com` 是唯一具有存取權限的服務主體。

 刪除這些角色將影響 Network Manager 的多帳戶功能。

## 使用 Network Manager 啟用受信任存取
<a name="integrate-enable-ta-network-manager"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務啟用受信任存取的許可 AWS 。請務必使用 Network Manager *主控台*來啟用受信任的存取，以避免權限問題。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 AWS Organizations管理多個 Network Manager 中的帳戶](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)。

## 使用 Network Manager 來停用受信任存取
<a name="integrate-disable-ta-network-manager"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 Organizations 管理帳戶中的管理員具有使用其他服務停用受信任存取的許可 AWS 。

**重要**  
我們強烈建議您使用 Network Manager 主控台來停用受信任的存取。如果您以任何其他方式停用受信任存取，例如使用 AWS CLI、搭配 API 或主控台 CloudFormation ，則部署的 CloudFormation StackSets 和自訂 IAM 角色可能無法正確清除。若要停用受信任的服務存取，請登入 [Network Manager 主控台](https://console.aws.amazon.com/vpc/home#networkmanager)。

## 為 Network Manager 啟用委派的管理員帳戶
<a name="integrate-enable-da-network-manager"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Network Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Network Manager 的管理分開。

如需如何將成員帳戶指定為組織中 Network Manager 的委派管理員，請參閱 *Amazon VPC 使用者指南*中的[註冊委派管理員](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)。

# Amazon Q 開發人員和 AWS Organizations
<a name="services-that-can-integrate-amazon-q-dev"></a>

 Amazon Q Developer 是生成式 AI 支援的對話式助理，可協助您了解、建置、擴展和操作 AWS 應用程式。它也是一般用途、採用機器學習技術的程式碼產生器，可即時為您提供程式碼建議。Amazon Q Developer 的付費訂閱版本需要 Organizations 整合。如需詳細資訊，請參閱[《Amazon Q 使用者指南》中的帳戶、IAM Identity Center 和 Organizations 設定](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-topic-account.html#admin-setup-org)。 **

使用以下資訊來協助您整合 Amazon Q Developer 與 AWS Organizations。



## 服務連結角色
<a name="integrate-enable-slr-amazon-q-dev"></a>

`AWSServiceRoleForAmazonQDeveloper` 服務連結角色可讓 Amazon Q Developer 在您的組織內執行支援的操作。使用 Amazon Q Developer 主控台、API 或 CLI 建立角色，如 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)所述。

如果您使用成員帳戶，則只有在停用 Amazon Q Developer 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。

## Amazon Q Developer 使用的服務主體
<a name="integrate-enable-svcprin-amazon-q-dev"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Q Developer 使用的服務連結角色會將存取權授予下列服務主體：
+ `q.amazonaws.com`

## 使用 Amazon Q Developer 啟用受信任存取
<a name="integrate-enable-ta-amazon-q-dev"></a>

 Amazon Q Developer Pro 使用受信任的存取權，與同一組織中的成員帳戶共用 Organizations 管理帳戶中所做的設定。

例如，在 Organizations 管理帳戶中工作的 Amazon Q Developer Pro 管理員可以使用程式碼參考啟用建議。如果啟用受信任存取，則該組織中所有成員帳戶也會啟用具有程式碼參考的建議。

您只能使用 Amazon Q Developer 啟用受信任存取。

若要啟用 Amazon Q Developer 的受信任存取，請使用此程序。

1. 在 Amazon Q 開發人員**設定**頁面**的成員帳戶設定**下，選擇**編輯**。

1. 在快顯視窗中，選取**開啟**。

1. 選擇**儲存**。

如需詳細資訊，請參閱《*Amazon Q Developer 使用者指南*》中的[啟用受信任存取](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access)。

## 使用 Amazon Q Developer 停用受信任存取
<a name="integrate-disable-ta-amazon-q-dev"></a>

您只能使用 Amazon Q Developer 工具停用受信任存取。

若要停用 Amazon Q Developer 的受信任存取，請使用此程序。

1. 在 Amazon Q Developer **Settings** 頁面**的成員帳戶設定**下，選擇**編輯**。

1. 在快顯視窗中，選取**關閉**。

1. 選擇**儲存**。

如需詳細資訊，請參閱《*Amazon Q Developer 使用者指南*》中的[啟用受信任存取](https://docs.aws.amazon.com//amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-general.html#q-admin-trusted-access)。

# AWS Resource Access Manager 而且 AWS Organizations
<a name="services-that-can-integrate-ram"></a>

AWS Resource Access Manager (AWS RAM) 可讓您與其他 共用您擁有的指定 AWS 資源 AWS 帳戶。這是一種集中式服務，可提供一致的體驗，以在多個帳戶中共用不同類型的 AWS 資源。

如需 的詳細資訊 AWS RAM，請參閱[https://docs.aws.amazon.com/ram/latest/userguide/what-is.html](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。

使用下列資訊來協助您 AWS Resource Access Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ram"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 AWS RAM 執行支援的操作。

只有在您停用 AWS RAM 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForResourceAccessManager`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ram"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS RAM 授予存取權給下列服務主體的服務連結角色：
+ `ram.amazonaws.com`

## 使用 啟用受信任存取 AWS RAM
<a name="integrate-enable-ta-ram"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Resource Access Manager 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Resource Access Manager 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Resource Access Manager 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Resource Access Manager提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Resource Access Manager 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 AWS RAM 主控台或 CLI 啟用受信任存取**  
請參閱*AWS RAM 使用者指南*中的[啟用與 AWS Organizations共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Resource Access Manager** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Resource Access Manager**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Resource Access Manager ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Resource Access Manager 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ram.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS RAM
<a name="integrate-disable-ta-ram"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 AWS Resource Access Manager 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Resource Access Manager 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Resource Access Manager 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Resource Access Manager提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Resource Access Manager 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 AWS Resource Access Manager 主控台或 CLI 停用受信任存取**  
請參閱*AWS RAM 使用者指南*中的[啟用與 AWS Organizations共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Resource Access Manager** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Resource Access Manager**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Resource Access Manager ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Resource Access Manager 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ram.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# AWS 資源總管 而且 AWS Organizations
<a name="services-that-can-integrate-resource-explorer"></a>

AWS 資源總管 是一項資源搜尋和探索服務。憑藉 Resource Explorer，您可以在類似網際網路搜尋引擎的體驗中探索您的資源，例如 Amazon Elastic Compute Cloud 執行個體、Amazon Kinesis Data Streams 或 Amazon DynamoDB 資料表。您可以使用名稱、標籤和 ID 等資源中繼資料來搜尋資源。Resource Explorer 可跨您帳戶中 AWS 的區域運作，以簡化您的跨區域工作負載。

當您將 Resource Explorer 與 整合時 AWS Organizations，您可以在評估範圍內包含 AWS 帳戶 來自組織的多個 ，以從更廣泛的來源收集證據。

使用下列資訊來協助您 AWS 資源總管 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-resource-explorer"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Resource Explorer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Resource Explorer 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。

如需有關 Resource Explorer 如何使用此角色的詳細資訊，請參閱《AWS 資源總管 使用者指南》**中的[使用服務連結角色](https://docs.aws.amazon.com/resource-explorer/latest/userguide/security_iam_service-linked-roles.html)。
+ `AWSServiceRoleForResourceExplorer`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-resource-explorer"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Resource Explorer 使用的服務連結角色會將存取權授予下列服務主體：
+ `resource-explorer-2.amazonaws.com`

## 使用 啟用受信任存取 AWS 資源總管
<a name="integrate-enable-ta-resource-explorer"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

Resource Explorer 需要信任的 存取權 AWS Organizations ，才能將成員帳戶指定為組織的委派管理員。

 您可以使用 Resource Explorer 主控台或 Organizations 主控台來啟用受信任存取。我們強烈建議您盡可能使用 Resource Explorer 主控台或工具來啟用與 Organizations 整合。這可讓 AWS 資源總管 執行其所需的任何組態，例如建立服務所需的資源。

**若要使用 Resource Explorer 主控台來啟用受信任存取**  
如需有關啟用受信任存取的說明，請參閱《AWS 資源總管 使用者指南》**中的[使用 Resource Explorer 的先決條件](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。

**注意**  
如果您使用 AWS 資源總管 主控台設定委派管理員，則 AWS 資源總管 會自動為您啟用受信任的存取。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS 資源總管 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 若要停用 Resource Explorer 的受信任存取
<a name="integrate-disable-ta-resource-explorer"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS 資源總管。

您可以使用 AWS 資源總管 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS 資源總管 主控台或工具來停用與 Organizations 的整合。這可讓 AWS 資源總管 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS 資源總管提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS 資源總管 主控台或工具停用受信任存取，則不需要完成這些步驟。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS 資源總管 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Resource Explorer 的委派管理員帳戶
<a name="integrate-enable-da-resource-explorer"></a>

使用您的委派管理員帳戶建立多帳戶資源檢視畫面，然後將範圍調整為組織單位或您的整個組織。您可以透過 AWS Resource Access Manager 建立資源共用，與組織中的任何帳戶共用多帳戶檢視。

**最低許可**  
只有具有下列許可之 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Resource Explorer 的委派管理員：  
`resource-explorer:RegisterAccount`

如需有關啟用 Resource Explorer 委派管理員帳戶的說明，請參閱《AWS 資源總管 使用者指南》**中的[設定](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up-prereqs.html)。

如果您使用 AWS 資源總管 主控台設定委派管理員，Resource Explorer 會自動為您啟用受信任的存取。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務識別`resource-explorer-2.amazonaws.com`為參數。

------

## 停用 Resource Explorer 的委派管理員
<a name="integrate-disable-da-resource-explorer"></a>

 只有 Organizations 管理帳戶或 Resource Explorer 委派管理員帳戶中的管理員可以移除 Resource Explorer 的委派管理員。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作停用受信任存取。

# AWS Security Hub CSPM 而且 AWS Organizations
<a name="services-that-can-integrate-securityhub"></a>

AWS Security Hub CSPM 可讓您全面檢視 中的安全狀態， AWS 並協助您根據安全產業標準和最佳實務檢查環境。

Security Hub CSPM 會從 AWS 帳戶、 AWS 服務 您使用的 和支援的第三方合作夥伴產品收集安全資料。它可協助您分析安全趨勢，並識別最高優先級的安全問題。

當您同時使用 Security Hub CSPM 和 AWS Organizations 時，您可以為所有帳戶自動啟用 Security Hub CSPM，包括新增的新帳戶。這會增加 Security Hub CSPM 檢查和調查結果的涵蓋範圍，這可讓您更全面且準確地了解整體安全狀態。

如需 Security Hub CSPM 的詳細資訊，請參閱 *[AWS Security Hub 使用者指南](https://docs.aws.amazon.com/securityhub/latest/userguide/)*。

使用下列資訊來協助您 AWS Security Hub CSPM 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-securityhub"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Security Hub CSPM 在您組織中的組織帳戶中執行支援的操作。

只有在您停用 Security Hub CSPM 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForSecurityHub`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-securityhub"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Security Hub CSPM 使用的服務連結角色會將存取權授予下列服務主體：
+ `securityhub.amazonaws.com`

## 使用 Security Hub CSPM 啟用受信任存取
<a name="integrate-enable-ta-securityhub"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您為 Security Hub CSPM 指定委派管理員時，Security Hub CSPM 會自動啟用組織中 Security Hub 的受信任存取。

## 使用 Security Hub CSPM 停用受信任存取
<a name="integrate-disable-ta-securityhub"></a>

如需停用信任存取所需的許可資訊，請參閱*AWS Organizations 《 使用者指南*》中的[停用信任存取所需的許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在您停用受信任存取之前，我們建議您與組織的委派管理員合作，以停用成員帳戶中的 Security Hub CSPM，並清除這些帳戶中的 Security Hub CSPM 資源。

您可以使用 AWS Organizations 主控台、Organizations API 或 來停用受信任存取 AWS CLI。只有 Organizations 管理帳戶的管理員可以使用 Security Hub CSPM 停用受信任存取。

如需使用 Security Hub CSPM 停用受信任存取的指示，請參閱[停用 Security Hub CSPM 整合 AWS Organizations](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#disable-orgs-integration)。

## 啟用 Security Hub CSPM 的委派管理員
<a name="integrate-enable-da-securityhub"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以執行 Security Hub CSPM 的管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Security Hub CSPM 的管理分開。

如需詳細資訊，請參閱*AWS Security Hub 《 使用者指南*》中的[指定 Security Hub CSPM 管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)。

**將成員帳戶指定為 Security Hub CSPM 的委派管理員**

1. 使用 Organizations 管理帳戶登入。

1. 執行下列其中一項：
   + 如果您的管理帳戶未啟用 Security Hub CSPM，請在 Security Hub CSPM 主控台上選擇**移至 Security Hub CSPM**。
   + 如果您的管理帳戶已啟用 Security Hub CSPM，則在 Security Hub CSPM 主控台上，於**一般**選擇**設定**下。

1. 在 **Delegated Administrator** (委派的管理員) 下，輸入帳戶 ID。

## 停用 Security Hub CSPM 的委派管理員
<a name="integrate-disable-da-securityhub"></a>

只有組織管理帳戶可以移除委派的 Security Hub CSPM 管理員帳戶。

若要變更委派的 Security Hub CSPM 管理員，您必須先移除目前的委派管理員帳戶，然後指定新的管理員帳戶。

如果您使用 Security Hub CSPM 主控台移除一個區域中的委派管理員，則會在所有區域中自動移除。

Security Hub CSPM API 只會從發出 API 呼叫或命令的區域移除委派的 Security Hub CSPM 管理員帳戶。您必須在其他區域中重複 動作。

如果您使用 Organizations API 移除委派的 Security Hub CSPM 管理員帳戶，則會在所有區域中自動移除。

如需停用委派 Security Hub CSPM 管理員的指示，請參閱[移除或變更委派管理員](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#remove-admin-overview)。

# Amazon S3 Storage Lens 和 AWS Organizations
<a name="services-that-can-integrate-s3lens"></a>

透過授予 Amazon S3 Storage Lens 對組織的受信任存取權，您可以允許它收集和彙總組織中所有 AWS 帳戶 的指標。S3 Storage Lens 會透過存取屬於您組織的帳戶清單，收集並分析所有這些帳戶的儲存體、用量和活動指標來執行此操作。

如需詳細資訊，請參閱 *《Amazon S3 torage Lens 使用者指南》*中的[使用 Amazon S3 Storage Lens 的服務連結角色](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-service-linked-roles.html)。

使用以下資訊來協助您整合 Amazon S3 Storage Lens AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-s3lens"></a>

當您啟用受信任存取，且 Storage Lens 組態已套用至您的組織時，會自動在您組織的委派管理員帳戶建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Amazon S3 Storage Lens 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Amazon S3 Storage Lens 和 Organizations 之間的受信任存取，或從組織中移除該成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForS3StorageLens` 

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-s3lens"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon S3 Storage Lens 使用的服務連結角色會將存取權授予下列服務委託人：
+ `storage-lens.s3.amazonaws.com`

## 啟用 Amazon S3 Storage Lens 的受信任存取
<a name="integrate-enable-ta-s3lens"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 Amazon S3 Storage Lens 主控台或 AWS Organizations 主控台來啟用受信任存取。

**重要**  
強烈建議您盡可能使用 Amazon S3 Storage Lens 主控台或工具來啟用與 Organizations 整合。這可讓 Amazon S3 Storage Lens 執行其需要的任何組態，例如建立服務所需的資源。只有在您無法使用 Amazon S3 Storage Lens 提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 Amazon S3 Storage Lens 主控台或工具啟用受信任的存取，則不需要完成這些步驟。

**使用 Amazon S3 主控台來啟用受信任存取**  
請參閱《Amazon Simple [Storage Service 使用者指南》中的啟用 S3 Storage Lens 的受信任存取](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_enabling_trusted_access)。 **

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon S3 Storage Lens**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 Amazon S3 Storage Lens 的受信任存取**對話方塊中，輸入 **Enable** 進行確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon S3 Storage Lens 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以啟用 Amazon S3 Storage Lens 做為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal storage-lens.s3.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用 Amazon S3 Storage Lens 的受信任存取
<a name="integrate-disable-ta-s3lens"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Amazon S3 Storage Lens 工具停用受信任存取。

您可以使用 Amazon S3 主控台、 AWS CLI 或任何 AWS SDKs。

**使用 Amazon S3 主控台來停用受信任存取**  
請參閱《*Amazon Simple* [Storage Service 使用者指南》中的停用 S3 Storage Lens 的受信任存取](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_disabling_trusted_access)。

## 啟用 Amazon S3 Storage Lens 的委派管理員帳戶
<a name="integrate-enable-da-s3lens"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Amazon S3 Storage Lens 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Amazon S3 Storage Lens 的管理分開。

**最低許可**  
只有具有下列許可的 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Amazon S3 Storage Lens 的委託管理員：  
`organizations:RegisterDelegatedAdministrator`  
`organizations:DeregisterDelegatedAdministrator`

Amazon S3 Storage Lens 最多可支援您組織中的 5 個委派管理員帳戶。

**將成員帳戶指定為 Amazon S3 Storage Lens 的委派管理員**  
您可以使用 Amazon S3 主控台、 AWS CLI 或任何 AWS SDKs 註冊委派管理員。若要使用 Amazon S3 主控台將成員帳戶註冊為組織的委派管理員帳戶，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[註冊 S3 Storage Lens 的委派管理員](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_registering_delegated_admins)。

**取消註冊 Amazon S3 Storage Lens 的委派管理員。**  
您可以使用 Amazon S3 主控台、 AWS CLI 或任何 AWS SDKs 取消註冊委派管理員。若要使用 Amazon S3 主控台取消註冊委派管理員，請參閱《*Amazon Simple* [Storage Service 使用者指南》中的取消註冊 S3 Storage Lens 的委派管理員](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_with_organizations.html#storage_lens_with_organizations_deregistering_delegated_admins)。

# AWS 安全事件回應和 AWS Organizations
<a name="services-that-can-integrate-security-ir"></a>

AWS 安全事件回應是一項安全服務，提供全年無休的即時、人力輔助安全事件支援，協助客戶快速回應憑證遭竊和勒索軟體攻擊等網路安全事件。透過與 Organizations 整合，您可以為整個組織啟用安全涵蓋範圍。如需詳細資訊，請參閱《[AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)*安全事件回應*帳戶。

使用以下資訊來協助您整合 AWS 安全事件回應 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-security-ir"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下服務連結角色。
+ `AWSServiceRoleForSecurityIncidentResponse` - 用於建立安全事件回應成員資格 - 透過 訂閱服務 AWS Organizations。
+ `AWSServiceRoleForSecurityIncidentResponse_Triage` - 僅在您在註冊期間啟用分類功能時使用。

## 安全事件回應所使用的服務主體
<a name="integrate-enable-svcprin-security-ir"></a>

 上一節中的服務連結角色只能由為角色定義的信任關係授權的服務主體擔任。安全事件回應使用的服務連結角色會將存取權授予下列服務委託人：
+ `security-ir.amazonaws.com`

## 啟用安全事件回應的受信任存取
<a name="integrate-enable-ta-security-ir"></a>

啟用安全事件回應的受信任存取權可讓服務追蹤組織的結構，並確保組織中的所有帳戶都有作用中的安全事件涵蓋範圍。當您啟用分類功能時，它還允許服務在成員帳戶中使用服務連結角色來分類功能。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS 安全事件回應主控台或 主控台來啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS 安全事件回應主控台或工具來啟用與 Organizations 的整合。這可讓 AWS 安全事件回應執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS 安全事件回應提供的工具啟用整合時，才能繼續進行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS 安全事件回應主控台或工具啟用受信任存取，則不需要完成這些步驟。

當您使用安全事件回應主控台進行設定和管理時，Organizations 會自動啟用 Organizations 受信任的存取。如果您使用安全事件回應 CLI/SDK，則必須使用 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 手動啟用受信任存取。若要了解如何透過安全事件回應主控台啟用受信任存取，請參閱*《安全事件回應使用者指南*》中的[為 AWS 帳戶管理啟用受信任存取](https://docs.aws.amazon.com/security-ir/latest/userguide/using-orgs-trusted-access.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**AWS 安全事件回應**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 AWS 安全事件回應的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS 安全事件回應的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將 AWS 安全事件回應啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal security-ir.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用安全事件回應停用受信任存取
<a name="integrate-disable-ta-security-ir"></a>

只有 Organizations 管理帳戶中的管理員可以透過安全事件回應停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**AWS 安全事件回應**。

1. 選擇**停用受信任的存取**。

1. 在**停用 AWS 安全事件回應的受信任存取**對話方塊中，輸入**停用**進行確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 AWS 安全事件回應的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 AWS 安全事件回應停用為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal security-ir.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 為安全事件回應啟用委派管理員帳戶
<a name="integrate-enable-da-security-ir"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以針對安全事件回應執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與安全事件回應的管理分開。如需詳細資訊，請參閱《[AWS 安全事件回應使用者指南》中的使用 管理 AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html)*安全事件回應*帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色可以將成員帳戶設定為組織中安全事件回應的委派管理員

若要了解如何透過安全事件回應主控台設定委派管理員，請參閱[《安全事件回應使用者指南》中的指定委派的安全事件回應管理員帳戶](https://docs.aws.amazon.com/security-ir/latest/userguide/delegated-admin-designate.html)。 **

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal security-ir.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務識別`security-ir.amazonaws.com`為參數。

------

## 針對安全事件回應停用委派管理員
<a name="integrate-disable-da-security-ir"></a>

**重要**  
如果成員資格是從委派管理員帳戶建立的，則取消註冊委派管理員是一項破壞性動作，並會導致服務中斷。若要重新註冊 DA：  
在 https：//https://console.aws.amazon.com/security-ir/home\$1/membership/settings 登入安全事件回應主控台
從服務主控台取消成員資格。成員資格會保持作用中狀態，直到帳單週期結束為止。
 一旦取消成員資格，請透過 Organizations 主控台、CLI 或 SDK 停用服務存取。

 只有 Organizations 管理帳戶中的管理員才能移除安全事件回應的委派管理員。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作來移除委派管理員。

# Amazon Security Lake 和 AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake 將來自雲端、內部部署和自訂來源的安全資料，集中到存放在您的帳戶的資料湖中。透過與 Organizations 整合，您可以建立資料湖來收集跨帳戶的日誌和事件。如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的[ 使用  AWS Organizations 管理多個帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。

使用以下資訊來協助您整合 Amazon Security Lake 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-sl"></a>

當您呼叫 [RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html) API 時，系統會自動在組織的管理帳戶中建立下列[服務連結角色](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)。此角色可讓 Amazon Security Lake 在組織中的組織帳戶中執行支援的操作。

只有在您停用 Amazon Security Lake 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForSecurityLake`

**建議：使用 Security Lake 的 RegisterDataLakeDelegatedAdministrator API 來允許 Security Lake 存取您的 Organization 並註冊 Organizations 的委派管理員**  
如果您使用 Organizations 的 APIs 註冊委派管理員，可能不會成功建立 Organizations 的服務連結角色。若要確保完整功能，請使用 Security Lake APIs。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-sl"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Security Lake 使用的服務連結角色會將存取權授予下列服務主體：
+ `securitylake.amazonaws.com`

## 使用 Amazon Security Lake 啟用受信任存取
<a name="integrate-enable-ta-sl"></a>

當您使用 Security Lake 啟用受信任存取時，Security Lake 可以自動對組織成員資格的變更做出回應。委派管理員可以從任何組織帳戶中支援的 服務啟用 AWS 日誌收集。如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的 [Amazon Security Lake 的服務連結角色](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html)。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Security Lake**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用 Amazon Security Lake 的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Security Lake 的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，讓 Amazon Security Lake 成為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Amazon Security Lake 停用受信任存取
<a name="integrate-disable-ta-sl"></a>

只有 Organizations 管理帳戶中的管理員可以使用 Amazon Security Lake 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇 **Amazon Security Lake**。

1. 選擇**停用受信任的存取**。

1. 在**停用 Amazon Security Lake 的受信任存取**對話方塊中，輸入**停用**進行確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Amazon Security Lake 的管理員，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon Security Lake 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Amazon Security Lake 的委派管理員帳戶
<a name="integrate-enable-da-sl"></a>

Amazon Security Lake 委派管理員會將組織中的其他帳戶新增為成員帳戶。委派管理員可以啟用 Amazon Security Lake 並為成員帳戶設定 Amazon Security Lake 設定。委派管理員可以在啟用 Amazon Security Lake 的所有 AWS 區域中跨組織收集日誌 （無論您目前正在使用哪個區域端點）。

您還可以設定委派管理員在組織中自動將新帳戶新增為成員。Amazon Security Lake 委派管理員可存取相關聯成員帳戶中的日誌和事件。因此，您可以設定 Amazon Security Lake 來收集關聯成員帳戶擁有的資料。您還可以授權訂閱用戶取用關聯成員帳戶擁有的資料。

如需詳細資訊，請參閱 *Amazon Security Lake 使用者指南*中的[ 使用  AWS Organizations 管理多個帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)。

**最低許可**  
只有 Organizations 管理帳戶中的管理員可以將成員帳戶設定為組織中 Amazon Security Lake 的委派管理員

您可以使用 Amazon Security Lake 主控台、Amazon Security Lake `CreateDatalakeDelegatedAdmin` API 操作或 CLI `create-datalake-delegated-admin` 命令來指定委派管理員帳戶。或者，您可以使用 Organizations `RegisterDelegatedAdministrator` CLI 或 SDK 操作。如需為 Amazon Security Lake 啟用委派管理員帳戶的指示，請參閱《Amazon [ Security Lake 使用者指南》中的指定委派的 Security Lake 管理員和新增成員帳戶](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin)。 **

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Amazon Security Lake 的委派管理員
<a name="integrate-disable-da-sl"></a>

只有 Organizations 管理帳戶或 Amazon Security Lake 委派管理員帳戶中的管理員，才能從組織中移除委派管理員帳戶。

您可以使用 Amazon Security Lake `DeregisterDataLakeDelegatedAdministrator` API 操作、 CLI `deregister-data-lake-delegated-administrator` 命令，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派的管理員帳戶。若要使用 Amazon Security Lake 移除委派管理員，請參閱[《Amazon Security Lake 使用者指南》中的移除 Amazon Security Lake 委派管理員](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin)。 **

# AWS Service Catalog 而且 AWS Organizations
<a name="services-that-can-integrate-servicecatalog"></a>

Service Catalog 可讓您建立和管理已核准在 AWS上使用的 IT 服務目錄。

將 Service Catalog 與 AWS Organizations 整合，可簡化整個組織的產品組合共用和產品複製。Service Catalog 管理員可以在共用產品組合 AWS Organizations 時參考 中的現有組織，也可以與組織樹狀結構中任何信任的組織單位 (OU) 共用產品組合。這會消除共用產品組合 ID 的需求，且接收帳戶可在匯入產品組合時手動參考產品組合 ID。透過此機制共用的產品組合會列在 Service Catalog 中管理員之 **Imported Portfolio** (匯入產品組合) 檢視的共用帳戶中。

如需有關 Service Catalog 的詳細資訊，請參閱[《Service Catalog 管理員指南》**](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)。

使用下列資訊來協助您 AWS Service Catalog 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-servicecatalog"></a>

AWS Service Catalog 不會建立任何服務連結角色，做為啟用受信任存取的一部分。

## 用於授予許可的服務委託人
<a name="integrate-enable-svcprin-servicecatalog"></a>

若要啟用受信任存取，必須指定下列服務委託人：
+ `servicecatalog.amazonaws.com`

## 使用 Service Catalog 啟用可信存取
<a name="integrate-enable-ta-servicecatalog"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Service Catalog 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Service Catalog 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Service Catalog 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Service Catalog提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Service Catalog 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 Service Catalog CLI 或 AWS SDK 啟用受信任存取**  
呼叫以下其中一個命令或一項操作：
+ AWS CLI: [aws servicecatalog enable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/enable-aws-organizations-access.html)
+ AWS SDKs：[AWSServiceCatalog：：EnableAWSOrganizationsAccess](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html)

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Service Catalog** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用信任的存取 AWS Service Catalog**對話方塊中，輸入**啟用**以確認，然後選擇**啟用信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Service Catalog ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Service Catalog 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal servicecatalog.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Service Catalog 停用可信存取
<a name="integrate-disable-ta-servicecatalog"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

如果您在使用 Service Catalog AWS Organizations 時停用 的受信任存取，則不會刪除目前的共用，但會阻止您在整個組織中建立新的共用。如果呼叫此動作導致目前共享變更，將不會在您的組織結構中同步。

**使用 Service Catalog CLI 或 AWS SDK 停用受信任存取**  
呼叫以下其中一個命令或一項操作：
+ AWS CLI: [aws servicecatalog disable-aws-organizations-access](https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/disable-aws-organizations-access.html)
+ AWS SDKs：[DisableAWSOrganizationsAccess](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_DisableAWSOrganizationsAccess.html)

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Service Catalog** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Service Catalog**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Service Catalog ，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS Service Catalog 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal servicecatalog.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Service Quotas 和 AWS Organizations
<a name="services-that-can-integrate-servicequotas"></a>

Service Quotas 是一項 AWS 服務，可讓您從中央位置檢視和管理配額。「配額」也稱為限制，即您的 AWS 帳戶中的資源、動作與項目的最大值。

與 Service Quotas 建立關聯時 AWS Organizations，您可以建立配額請求範本，以在建立帳戶時自動請求增加配額。

如需 Service Quotas 的詳細資訊，請參閱 [Service Quotas 使用者指南](https://docs.aws.amazon.com/servicequotas/latest/userguide/)。

使用以下資訊來協助您整合 Service Quotas 與 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-servicequotas"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Service Quotas 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Service Quotas 和 Organizations 之間的受信任存取，或從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForServiceQuotas`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-servicequotas"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Service Quotas 使用的服務連結角色會將存取權授予下列服務委託人：
+ `servicequotas.amazonaws.com`

## 啟用受信任存取與其他 Service Quotas 服務
<a name="integrate-enable-ta-servicequotas"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Service Quotas 啟用受信任存取。

您可以使用 Service Quotas 主控台 AWS CLI 或 SDK 啟用受信任存取：
+ 

**使用 Service Quotas 主控台來啟用受信任存取。**  
使用您的 AWS Organizations 管理帳戶登入，然後在 Service Quotas 主控台上設定範本。如需詳細資訊，請參閱 *Service Quotas 使用者指南*中的[使用 Service Quota 範本](https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html)。
+ 

**使用 Service Quotas AWS CLI 或 SDK 啟用受信任存取**  
呼叫以下命令或操作：
  + AWS CLI: [aws service-quotas associate-service-quota-template](https://docs.aws.amazon.com/cli/latest/reference/service-quotas/API_AssociateServiceQuotaTemplate.html)
  + AWS SDKs：[AssociateServiceQuotaTemplate](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_AssociateServiceQuotaTemplate.html)

# AWS IAM Identity Center 而且 AWS Organizations
<a name="services-that-can-integrate-sso"></a>

AWS IAM Identity Center 提供所有 AWS 帳戶 和雲端應用程式的單一登入存取。它透過 與 Microsoft Active Directory 連線 AWS Directory Service ，以允許該目錄中的使用者使用其現有的 Active Directory 使用者名稱和密碼登入個人化 AWS 存取入口網站。從 AWS 存取入口網站，使用者可以存取他們擁有許可的所有 AWS 帳戶 和雲端應用程式。

如需 IAM Identity Center 的詳細資訊，請參閱 [《AWS IAM Identity Center 使用者指南》](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。

使用下列資訊來協助您 AWS IAM Identity Center 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-sso"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 IAM Identity Center 在您組織的組織帳戶中執行支援的操作。

只有在您停用 IAM Identity Center 與 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForSSO`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-sso"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。IAM Identity Center 使用的服務連結角色會將存取權授予下列服務主體：
+ `sso.amazonaws.com`

## 使用 IAM Identity Center 來啟用受信任存取
<a name="integrate-enable-ta-sso"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS IAM Identity Center 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS IAM Identity Center 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS IAM Identity Center 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS IAM Identity Center提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS IAM Identity Center 主控台或工具啟用受信任存取，則不需要完成這些步驟。

IAM Identity Center 需要受信任的存取搭配 AWS Organizations 才能運作。當您設定 IAM Identity Center 時會啟用受信任的存取。如需詳細資訊，請參閱*AWS IAM Identity Center 使用者指南*中的[入門 – 步驟 1：啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS IAM Identity Center** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用信任的存取 AWS IAM Identity Center**對話方塊中，輸入**啟用**以確認，然後選擇**啟用信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS IAM Identity Center ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS IAM Identity Center 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal sso.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 IAM Identity Center 來停用受信任存取
<a name="integrate-disable-ta-sso"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

IAM Identity Center 需要受信任的存取搭配 AWS Organizations 才能操作。如果您在使用 IAM Identity Center AWS Organizations 時停用 的受信任存取，它會因為無法存取組織而停止運作。使用者無法使用 IAM Identity Center 來存取帳戶。會保留 IAM Identity Center 建立的任何角色，但 IAM Identity Center 服務無法加以存取。會保留 IAM Identity Center 服務連結角色。如果您重新啟用受信任存取，IAM Identity Center 會繼續如之前般運作，而不需重新設定服務。

如果從您的組織移除帳戶，IAM Identity Center 自動會清理任何中繼資料和資源，例如其服務連結角色。從組織移除的獨立帳戶，不再能與 IAM Identity Center 搭配使用。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS IAM Identity Center** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS IAM Identity Center**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS IAM Identity Center ，他們現在可以使用服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS IAM Identity Center 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal sso.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 IAM Identity Center 的委派管理員帳戶
<a name="integrate-disable-da-sso"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 IAM Identity Center 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 IAM Identity Center 的管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 IAM Identity Center 的委派管理員。  


如需有關如何為 IAM Identity Center 啟用委派管理員帳戶的說明，請參閱 *AWS IAM Identity Center 使用者指南*中的[委派的管理員](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html)。

# AWS Systems Manager 而且 AWS Organizations
<a name="services-that-can-integrate-ssm"></a>

AWS Systems Manager 是功能集合，可讓您的 AWS 資源可見性和控制。在您組織的所有 AWS 帳戶 中，以下 Systems Manager 功能皆可與 Organizations 搭配使用：
+ Systems Manager Explorer 是可自訂的操作儀表板，可報告 AWS 資源的相關資訊。您可以使用 Organizations and Systems Manager Explorer 來同步 AWS 帳戶 組織中所有 的操作資料。如需詳細資訊，請參閱*AWS Systems Manager 使用者指南*中的 [Systems Manager Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html)。
+ Systems Manager Change Manager 是一個企業變更管理架構，用於請求、核准、實作和報告應用程式組態和基礎結構的操作變更。如需詳細資訊，請參閱*AWS Systems Manager 使用者指南*中的 [AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html)。
+ Systems Manager OpsCenter 提供中央位置，讓營運工程師和 IT 專業人員可以檢視、調查和解決與 AWS 資源相關的操作工作項目 (OpsItems)。當您將 OpsCenter 與 Organizations 搭配使用時，其支援在單一工作階段期間從管理帳戶 (Organizations 管理帳戶或 Systems Manager 委派的管理員帳戶) 與另一個帳戶使用 OpsItems。設定完成後，使用者可以執行以下類型的動作：
  + 在另一個帳戶中建立、檢視和更新 OpsItems。
  + 檢視其他帳戶中 OpsItems 中指定 AWS 之資源的詳細資訊。
  + 啟動 Systems Manager Automation Runbook 以修復另一個帳戶中 AWS 資源的問題。

  如需詳細資訊，請參閱*《AWS Systems Manager 使用者指南》*中的[AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)。
+ 使用快速設定，以建議的最佳實務快速設定常用 AWS 服務和功能。如需詳細資訊，請參閱《AWS Systems Manager 使用者指南》**中的 [AWS Systems Manager 快速設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html)。

  當您註冊 Systems Manager 的 AWS Organizations 委派管理員帳戶時，您可以建立、更新、檢視和刪除以組織中組織單位為目標的快速設定組態管理員。請參閱*AWS Systems Manager 《 使用者指南*》中的[使用委派管理員進行快速設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-delegated-administrator.html)。
+ 當您設定 Systems Manager 的整合主控台時，您會輸入委派管理員帳戶。此帳戶用於向 Quick Setup、 Explorer、CloudFormation StackSets 和 Resource Explorer 註冊 AWS Organizations 委派管理員帳戶。如需進一步了解，請參閱為[組織設定 Systems Manager 整合式主控台*AWS Systems Manager 使用者指南*](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html)。

使用以下資訊來協助您 AWS Systems Manager 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ssm"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Systems Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Systems Manager 和 Organizations 之間的受信任存取，或是從組織中移除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ssm"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Systems Manager 使用的服務連結角色會將存取權授予下列服務委託人：
+ `ssm.amazonaws.com`

## 使用 Systems Manager 來啟用受信任存取
<a name="integrate-enable-ta-ssm"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Systems Manager** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Systems Manager**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Systems Manager ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Systems Manager 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 Systems Manager 來停用受信任存取
<a name="integrate-disable-ta-ssm"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

Systems Manager 需要與 的受信任存取 AWS Organizations ，以同步組織中 AWS 帳戶 跨 的操作資料。如果您停用信任存取，則 Systems Manager 無法同步操作資料，還會報告錯誤。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Systems Manager** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Systems Manager**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Systems Manager ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS Systems Manager 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Systems Manager 的委派管理員帳戶
<a name="integrate-enable-da-ssm"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 Systems Manager 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Systems Manager 的管理分開。

如果您在整個組織中使用 Change Manager，則會使用委派管理員帳戶。這是 AWS 帳戶 指定為在 Change Manager 中管理變更範本、變更請求、變更 Runbook 和核准工作流程的帳戶。委派的帳戶會管理整個組織的變更活動。當您設定組織以配合 Change Manager 使用時，可以指定哪些帳號擔任此角色。它不必是組織的管理帳戶。如果您僅以單一帳戶使用 Change Manager，則不需要委派管理員帳戶。

**若要將成員帳戶指定為委派管理員，請查看*《AWS Systems Manager 使用者指南》*中的以下主題：**  

+ 關於 Explorer 和 OpsCenter，請參閱[《設定委派管理員》](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html)。
+ 關於 Systems Manager Change Manager，請參閱[設定 Change Manager 的組織和委派帳戶](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 如需快速設定，請參閱[註冊快速設定 的委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html)。

## 停用 Systems Manager 的委派管理員帳戶
<a name="integrate-disable-da-ssm"></a>

**若要取消註冊委派管理員，請參閱*AWS Systems Manager 《 使用者指南*》中的下列主題：**  

+ 對於 Explorer 和 OpsCenter，請參閱[取消註冊 Explorer 委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html)。
+ 關於 Systems Manager Change Manager，請參閱[設定 Change Manager 的組織和委派帳戶](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)。
+ 如需快速設定，請參閱[取消註冊快速設定 的委派管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html)。

# AWS 使用者通知 而且 AWS Organizations
<a name="services-that-can-integrate-uno"></a>

[AWS 使用者通知](https://aws.amazon.com/notifications) 是 AWS 通知的集中位置。

與 整合後 AWS Organizations，您可以集中設定和檢視組織中所有帳戶的通知。

使用下列資訊來協助您 AWS 使用者通知 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-uno"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 使用者通知 執行支援的操作。

只有在您停用 使用者通知 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForAWSUserNotifications`

如需詳細資訊，請參閱*AWS 使用者通知 《 使用者指南*》中的[使用服務連結角色](https://docs.aws.amazon.com/notifications/latest/userguide/using-service-linked-roles.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-uno"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 使用者通知 授予存取權給下列服務主體的服務連結角色：
+ `notifications.amazon.com`

## 使用 啟用受信任存取 使用者通知
<a name="integrate-enable-ta-uno"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 啟用受信任的存取 AWS 使用者通知。

若要使用 使用者通知 主控台啟用受信任存取，請參閱*使用者通知 《 使用者指南*》中的[AWS Organizations 在 中啟用 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html) 。

## 使用 停用受信任存取 使用者通知
<a name="integrate-disable-ta-uno"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 啟用受信任的存取 AWS 使用者通知。

若要使用 使用者通知 主控台停用受信任存取，請參閱*使用者通知 《 使用者指南*》中的[AWS Organizations 在 中啟用 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html) 。

## 啟用 的委派管理員帳戶 使用者通知
<a name="integrate-enable-da-uno"></a>

管理帳戶管理員可以將 使用者通知 管理許可委派給稱為委派管理員的指定成員帳戶。若要將帳戶註冊為私有市集的委派管理員，管理帳戶管理員必須確保啟用受信任存取和服務連結角色，選擇**註冊新的管理員**，提供 12 位數 AWS 的帳號，然後選擇**提交**。

管理帳戶和委派管理員帳戶可以執行 使用者通知 管理任務，例如建立體驗、更新品牌設定、關聯或取消關聯對象、新增或移除產品，以及核准或拒絕待定請求。

若要使用 使用者通知 主控台設定委派管理員，請參閱*使用者通知 《 使用者指南*》中的[在 中註冊委派管理員 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#register-admins)。

您也可以使用 Organizations `RegisterDelegatedAdministrator` API 來設定委派管理員。如需詳細資訊，請參閱 *Organizations Command Reference* (Organizations 命令參考) 中的 [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)。

## 停用 的委派管理員 使用者通知
<a name="integrate-disable-da-uno"></a>

只有組織管理帳戶中的管理員可以設定委派管理員 使用者通知。

您可以使用 使用者通知 主控台或 API，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派管理員。

 若要使用 使用者通知 主控台停用委派管理員 使用者通知 帳戶，請參閱*使用者通知 《 使用者指南*》中的在 [中移除委派管理員 AWS 使用者通知](https://docs.aws.amazon.com/notifications/latest/userguide/uno-orgs.html#deregister-admins)。

# 標記政策和 AWS Organizations
<a name="services-that-can-integrate-tag-policies"></a>

*標籤政策*是 中的一種政策類型 AWS Organizations ，可協助您在組織帳戶中跨資源標準化標籤。如需標籤政策的詳細資訊，請參閱[標籤政策](orgs_manage_policies_tag-policies.md)。

使用以下資訊來協助您將標籤政策與 整合 AWS Organizations。



## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-tag-policies"></a>

Organizations 使用下列服務委託人與連接至您資源的標籤互動。
+ `tagpolicies.tag.amazonaws.com`

## 啟用標籤政策的受信任存取
<a name="integrate-enable-ta-tag-policies"></a>

您可以在組織中啟用標籤政策，或使用 AWS Organizations 主控台來啟用受信任存取。

**重要**  
強烈建議您透過啟用標記政策來啟用受信任存取。這可讓 Organizations 執行必要的設定任務。

您可以在 AWS Organizations 主控台中啟用標籤政策類型，來啟用標籤政策的受信任存取。如需詳細資訊，請參閱[啟用政策類型](enable-policy-type.md)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. 在服務清單中選擇**標籤政策**。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用標籤政策的受信任存取**對話方塊中，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴標籤政策的管理員，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，將標籤政策啟用為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal tagpolicies.tag.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用標籤政策來停用受信任存取
<a name="integrate-disable-ta-tag-policies"></a>

您可以在 AWS Organizations 主控台中停用標籤政策類型，以停用標籤政策的受信任存取。如需詳細資訊，請參閱[停用政策類型](disable-policy-type.md)。

# AWS Trusted Advisor 而且 AWS Organizations
<a name="services-that-can-integrate-ta"></a>

AWS Trusted Advisor 會檢查您的 AWS 環境，並在有機會節省成本、改善系統可用性和效能，或協助填補安全漏洞時提出建議。與 Organizations 整合時，您可以接收組織中所有帳戶的 Trusted Advisor 檢查結果，並下載報告以檢視檢查摘要和任何受影響的資源。

如需詳細資訊，請參閱*AWS 支援 使用者指南*中的 [AWS Trusted Advisor的 組織檢視](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html)。

使用下列資訊來協助您 AWS Trusted Advisor 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ta"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 Trusted Advisor 執行支援的操作。

只有在您停用 Trusted Advisor 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForTrustedAdvisorReporting`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ta"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 Trusted Advisor 授予存取權給下列服務主體的服務連結角色：
+ `reporting.trustedadvisor.amazonaws.com`

## 使用 啟用受信任存取 Trusted Advisor
<a name="integrate-enable-ta-ta"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 啟用受信任存取 AWS Trusted Advisor。

**使用 Trusted Advisor 主控台啟用受信任存取**  
請參閱*AWS 支援 使用者指南*中的[啟用組織檢視](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#enable-organizational-view)。

## 使用 停用受信任存取 Trusted Advisor
<a name="integrate-disable-ta-ta"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

停用此功能後， 會 Trusted Advisor 停止記錄組織中所有其他帳戶的檢查資訊。您無法檢視或下載現有的報告或建立新的報告。

您可以使用 AWS Trusted Advisor 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Trusted Advisor 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Trusted Advisor 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Trusted Advisor提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Trusted Advisor 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 Trusted Advisor 主控台停用受信任存取**  
 請參閱*AWS 支援 使用者指南*中的[停用組織檢視](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#disable-organizational-view)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS Trusted Advisor 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal reporting.trustedadvisor.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 的委派管理員帳戶 Trusted Advisor
<a name="integrate-enable-da-ta"></a>

當您將成員帳戶指定為組織的委派管理員時，來自指定帳戶的使用者和角色可以為組織中的其他成員帳戶管理 AWS 帳戶 中繼資料。如果您未啟用委派系統管理員帳戶，則只有組織的管理帳戶才能執行這任務。這可協助您將組織的管理與帳戶詳細資訊的管理分開。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色可以將成員帳戶設定為 Trusted Advisor 組織中 的委派管理員

如需啟用委派管理員帳戶的指示 Trusted Advisor，請參閱*支援 《 使用者指南*》中的[註冊委派管理員](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#register-delegated-administrators)。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal reporting.trustedadvisor.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 的委派管理員 Trusted Advisor
<a name="integrate-disable-da-ta"></a>

您可以使用 Trusted Advisor 主控台，或使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來移除委派管理員。如需有關如何使用 Trusted Advisor 主控台停用委派管理員 Trusted Advisor 帳戶的資訊，請參閱《 *支援 使用者指南*》中的[取消註冊委派管理員](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#deregister-delegated-administrators)。

# AWS Well-Architected Tool 而且 AWS Organizations
<a name="services-that-can-integrate-wat"></a>

 AWS Well-Architected Tool 可協助您記錄工作負載的狀態，並將其與最新的 AWS 架構最佳實務進行比較。

 AWS Well-Architected Tool 搭配 Organizations 使用 可讓 AWS Well-Architected Tool 和 Organizations 客戶簡化與其組織其他成員共用 AWS Well-Architected Tool 資源的程序。

如需詳細資訊，請參閱 *AWS Well-Architected Tool 使用者指南*中的[共用 AWS Well-Architected Tool 資源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。

使用下列資訊來協助您 AWS Well-Architected Tool 整合 AWS Organizations。



## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-wat"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 在組織中的組織帳戶中 AWS WA Tool 執行支援的操作。

只有在您停用 AWS WA Tool 和 Organizations 之間的受信任存取，或者從組織中刪除成員帳戶時，才能移除或修改此角色。
+ `AWSServiceRoleForWellArchitected`

服務角色政策為 `AWSWellArchitectedOrganizationsServiceRolePolicy`

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-wat"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。 AWS WA Tool 授予存取權給下列服務主體的服務連結角色：
+ `wellarchitected.amazonaws.com`

## 使用 啟用受信任存取 AWS WA Tool
<a name="integrate-enable-ta-wat"></a>

允許更新 AWS WA Tool 以反映組織中的階層變更。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您可以使用 AWS Well-Architected Tool 主控台或 主控台啟用受信任存取 AWS Organizations 。

**重要**  
我們強烈建議您盡可能使用 AWS Well-Architected Tool 主控台或工具來啟用與 Organizations 的整合。這可讓 AWS Well-Architected Tool 執行其所需的任何組態，例如建立服務所需的資源。只有在您無法使用 AWS Well-Architected Tool提供的工具啟用整合時，才能繼續執行這些步驟。如需詳細資訊，請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。  
如果您使用 AWS Well-Architected Tool 主控台或工具啟用受信任存取，則不需要完成這些步驟。

**使用 AWS WA Tool 主控台啟用受信任存取**  
請參閱*AWS Well-Architected Tool 《 使用者指南*》中的[共用您的 AWS Well-Architected Tool 資源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Well-Architected Tool** 在服務清單中選擇 。

1. 選擇 **Enable trusted access (啟用信任存取)**。

1. 在**啟用受信任存取對話方塊中 AWS Well-Architected Tool**，輸入**啟用**以確認，然後選擇**啟用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Well-Architected Tool ，他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Well-Architected Tool 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal wellarchitected.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS WA Tool
<a name="integrate-disable-ta-wat"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 AWS Well-Architected Tool 或 AWS Organizations 工具來停用受信任存取。

**重要**  
我們強烈建議您盡可能使用 AWS Well-Architected Tool 主控台或工具來停用與 Organizations 的整合。這可讓 AWS Well-Architected Tool 執行其所需的任何清除，例如刪除 服務不再需要的資源或存取角色。只有在您無法使用 AWS Well-Architected Tool提供的工具停用整合成時，才能繼續執行這些步驟。  
如果您使用 AWS Well-Architected Tool 主控台或工具停用受信任存取，則不需要完成這些步驟。

**使用 AWS WA Tool 主控台停用受信任存取**  
請參閱*AWS Well-Architected Tool 《 使用者指南*》中的[共用您的 AWS Well-Architected Tool 資源](https://docs.aws.amazon.com/wellarchitected/latest/userguide/sharing.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，以 Organizations 將 停用 AWS Well-Architected Tool 為信任的服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal wellarchitected.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

# Amazon VPC IP Address Manager (IPAM) 和 AWS Organizations
<a name="services-that-can-integrate-ipam"></a>

Amazon VPC IP Address Manager (IPAM) 是一種 VPC 功能，可讓您更輕鬆地規劃、追蹤和監控 AWS 工作負載的 IP 地址。

使用 AWS Organizations 可讓您監控整個組織的 IP 地址用量，並跨成員帳戶共用 IP 地址集區。



如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html)。

使用以下資訊來協助您整合 Amazon VPC IP Address Manager (IPAM) 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ipam"></a>

使用 IPAM 主控台或使用 IPAM 的 `EnableIpamOrganizationAdminAccount` API 將 IPAM 與 AWS Organizations 整合時，會在組織的管理帳戶和每個成員帳戶中自動建立下列服務連結角色。
+ `AWSServiceRoleForIPAM`

如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ipam"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。IPAM 使用的服務連結角色會授予存取權給下列服務委託人：
+ `ipam.amazonaws.com`

## 使用 IPAM 啟用受信任存取
<a name="integrate-enable-ta-ipam"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

**注意**  
當您指定 IPAM 的委派管理員時，其會自動啟用組織中 IPAM 的受信任存取。  
IPAM 需要對 的受信任存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

您只能使用 Amazon VPC IP 地址管理員 (IPAM) 工具啟用受信任存取。

如果您 AWS Organizations 使用 IPAM 主控台或使用 IPAM `EnableIpamOrganizationAdminAccount` API 將 IPAM 與 整合，則會自動授予 IPAM 的受信任存取權。授予受信任存取會在管理帳戶中和組織內所有成員帳戶中建立服務連結角色 ` AWS ServiceRoleForIPAM`。IPAM 使用服務連結角色來監控與組織中 EC2 聯網資源相關聯的 CIDR，並將與 IPAM 相關的指標存放在 Amazon CloudWatch 中。如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com//vpc/latest/ipam/iam-ipam-slr.html)。

 如需啟用受信任存取的相關說明，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

**注意**  
 您無法使用 AWS Organizations 主控台或 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API 透過 IPAM 啟用受信任存取。

## 使用 IPAM 停用受信任存取
<a name="integrate-disable-ta-ipam"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 API 停用 IPAM 的 AWS Organizations `disable-aws-service-access`受信任存取。

 如需停用 IPAM 帳戶許可和刪除服務連結角色的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[IPAM 的服務連結角色](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam-slr.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon VPC IP Address Manager (IPAM) 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ipam.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 IPAM 的委派管理員帳戶
<a name="integrate-enable-da-ipam"></a>

IPAM 的委派管理員帳戶負責建立 IPAM 和 IP 地址集區、管理和監控組織中 IP 地址的使用情況，並進行跨成員帳戶的 IP地位址集區共用。如需詳細資訊，請參閱 *Amazon VPC IPAM 使用者指南*中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

只有組織管理帳戶中的管理員可以設定 IPAM 的委派管理員。

您可以從 IPAM 主控台或使用 `enable-ipam-organization-admin-account` API 指定委派的管理員帳戶。如需詳細資訊，請參閱《 * AWS AWS CLI 命令參考*》中的 [enable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html)。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 IPAM 的委託管理員。

若要使用 IPAM 主控台設定委派管理員，請參閱《Amazon VPC IPAM 使用者指南》**中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

## 停用 IPAM 的委派管理員
<a name="integrate-disable-da-ipam"></a>

只有組織管理帳戶中的管理員可以設定 IPAM 的委派管理員。

 若要使用 移除委派管理員 AWS AWS CLI，請參閱《 *AWS AWS CLI 命令參考*》中的 [disable-ipam-organization-admin-account](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ipam-organization-admin-account.html)。

 若要使用 IPAM 主控台停用委派管理員 IPAM 帳戶，請參閱《Amazon VPC IPAM 使用者指南》**中的[整合 IPAM 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

# Amazon VPC Reachability Analyzer 和 AWS Organizations
<a name="services-that-can-integrate-ra"></a>

Reachability Analyzer 是一種組態分析工具，可讓您在虛擬私有雲端 (VPC) 中的來源資源和目的地資源之間執行連線測試。

 AWS Organizations 搭配 Reachability Analyzer 使用 可讓您追蹤組織中帳戶間的路徑。



如需詳細資訊，請參閱 [Reachability Analyzer 使用者指南中的管理 Reachability Analyzer 中的委派管理員帳戶](https://docs.aws.amazon.com/vpc/latest/reachability/manage-delegated-administrators.html)。 **

使用以下資訊來協助您將 Reachability Analyzer 與 整合 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-ra"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。該角色允許 Reachability Analyzer 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Reachability Analyzer 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForReachabilityAnalyzer`

如需詳細資訊，請參閱 *Reachability Analyzer user* guide (《Reachability Analyzer 使用者指南》) 中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-ra"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Reachability Analyzer 使用的服務連結角色會將存取權授予下列服務主體：
+ `reachabilityanalyzer.networkinsights.amazonaws.com`

## 啟用 Reachability Analyzer 的受信任存取
<a name="integrate-enable-ta-ra"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

當您指定 Reachability Analyzer 的委派管理員時，會自動啟用組織中 Reachability Analyzer 的受信任存取。

Reachability Analyzer 需要對 的受信任存取權， AWS Organizations 才能將成員帳戶指定為組織的此服務委派管理員。

**重要**  
您可以使用 Reachability Analyzer 主控台或 Organizations 主控台來啟用受信任存取。但是，我們強烈建議您使用 Reachability Analyzer 主控台或 `EnableMultiAccountAnalysisForAwsOrganization` API 來啟用與 Organizations 的整合。這可讓 Reachability Analyzer 執行其需要的任何組態，例如建立服務所需的資源。
授予受信任存取會在管理帳戶中和組織內所有成員帳戶中建立服務連結角色 ` AWSServiceRoleForReachabilityAnalyzer`。Reachability Analyzer 使用服務連結角色來允許管理，委派管理員則可以在組織中的任何資源之間執行連線分析。Reachability Analyzer 可拍攝組織中帳戶的網路元素快照，以回答連線查詢。
如需詳細資訊，以及有關透過 Reachability Analyzer 啟用受信任存取的指示，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》)中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來啟用受信任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在**[服務](https://console.aws.amazon.com/organizations/v2/home/services)**頁面上，尋找 **VPC Reachability Analyzer** 列，選擇服務的名稱，然後選擇**啟用受信任存取**。

1. 在確認對話方塊中，啟用**顯示啟用受信任存取選項**，在方塊中輸入 **enable**，然後選擇**啟用受信任的存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴 Reachability Analyzer 的管理員，他們現在可以使用其主控台啟用該服務 AWS Organizations。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  您可以執行下列命令來啟用 Reachability Analyzer，作為受信任服務搭配使用 Organizations。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal reachabilityanalyzer.networkinsights.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 停用 Reachability Analyzer 的受信任存取
<a name="integrate-disable-ta-ra"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您可以使用 Reachability Analyzer 主控台 (建議) 或 Organizations 主控台來停用受信任存取。若要使用 Reachability Analyzer 主控台停用受信任存取，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》) 中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。

## 啟用 Reachability Analyzer 的委派管理員帳戶
<a name="integrate-enable-da-ra"></a>

委派管理員帳戶可以在組織中跨任何資源執行連線分析。如需詳細資訊，請參閱《Reachability Analyzer 使用者指南》**中的[整合 Reachability Analyzer 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以從 Reachability Analyzer 主控台或使用 `RegisterDelegatedAdministrator` API 指定委派管理員帳戶。如需詳細資訊，請參閱 *Organizations Command Reference* (Organizations 命令參考) 中的 [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Reachability Analyze 的委派管理員

若要使用 Reachability Analyzer 主控台設定委派管理員，請參閱《Reachability Analyzer 使用者指南》**中的[整合 Reachability Analyzer 與 AWS Organizations](https://docs.aws.amazon.com//vpc/latest/ipam/enable-integ-ipam.html)。

## 停用 Reachability Analyzer 的委派管理員
<a name="integrate-disable-da-ra"></a>

只有組織管理帳戶中的管理員可以設定 Reachability Analyzer 的委派管理員。

您可以使用 Reachability Analyzer 主控台或 API，或透過使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。

 若要使用 Reachability Analyzer 主控台停用委派的管理員 Reachability Analyzer 帳戶，請參閱 *Reachability Analyzer user guide* (《Reachability Analyzer 使用者指南》)中的 [Cross-account analyses for Reachability Analyzer](https://docs.aws.amazon.com//vpc/latest/reachability/multi-account.html) (Reachability Analyzer 的跨帳戶分析)。