管理帳戶、受信任存取和委派管理員

管理帳戶 （也稱為 AWS Organization Management 帳戶或 Org Management 帳戶） 是唯一的，並與其中的每個其他帳戶不同 AWS Organizations。這是建立 AWS 組織的帳戶。從此帳戶，您可以在 AWS 帳戶 AWS 組織中建立 、邀請其他現有帳戶加入組織 AWS （這兩種類型都視為成員帳戶)、從 AWS 組織中移除帳戶，以及將 IAM 政策套用至 AWS 組織中的根帳戶、OUs 帳戶或帳戶。

管理帳戶會透過 SCPs、RCPs 和服務部署 （例如 CloudTrail) 部署通用安全護欄，這將會影響組織中的所有成員帳戶 AWS 。若要進一步限制管理帳戶中的許可，可以盡可能將這些許可委派給另一個適當的帳戶，例如安全帳戶。

管理帳戶擁有付款人帳戶的責任，並要負責支付成員帳戶累積的所有費用。您無法切換 AWS 組織的管理帳戶。一次 AWS 帳戶 只能是一個 AWS 組織的成員。

由於管理帳戶擁有的功能和影響範圍，我們建議您限制對此帳戶的存取，並僅將許可授予需要它們的角色。兩個可協助您執行此操作的功能是受信任的存取和委派的管理員。您可以使用信任存取來啟用您指定的 AWS 服務 ，稱為信任服務，以代表您在 AWS 組織及其帳戶中執行任務。這包括授予許可給信任的服務，但不會影響 IAM 使用者或角色的許可。您可以使用信任的存取來指定您希望信任的服務代表您在 AWS 組織的帳戶中維護的設定和組態詳細資訊。例如， AWS SRA 的組織管理帳戶區段說明如何授予 CloudTrail 服務信任的存取權，以在組織 AWS 中的所有帳戶中建立 CloudTrail 組織追蹤。

有些 AWS 服務 支援 中的委派管理員功能 AWS Organizations。透過此功能，相容服務可以將 AWS 組織中 AWS的成員帳戶註冊為該服務中 AWS 組織帳戶的管理員。此功能為企業內不同的團隊提供彈性，以根據其責任使用不同的帳戶，來管理 AWS 服務 整個環境。 AWS SRA 中目前支援委派管理員 AWS 的安全服務包括 IAM Identity Center、 AWS Config、 AWS Firewall Manager、Amazon GuardDuty、IAM Access Analyzer、Amazon Macie、 AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM)、Amazon Detective AWS Audit Manager、Amazon Inspector 和 AWS Systems Manager。最佳實務是在 AWS SRA 中強調使用委派管理員功能，我們會將安全相關服務的管理委派給安全工具帳戶。