本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 账户管理 和 AWS Organizations
AWS 账户管理 帮助您管理组织 AWS 账户 中所有人的账户信息和元数据。您可以为组织的每个成员账户设置、修改或删除备用联系人信息。有关更多信息,请参阅*《AWS 账户管理 用户指南》*中的[在您的组织中使用 AWS 账户管理](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs.html)。
使用以下信息来帮助您集 AWS 账户管理 成 AWS Organizations。
## 启用账户管理可信访问权限
有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。
账户管理需要具有可信访问权限, AWS Organizations 然后才能将成员账户指定为组织此服务的委托管理员。
您只能使用 Organizations 工具启用可信访问权限。
您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。
------
#### [ AWS 管理控制台 ]
**要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在导航窗格中,选择**服务**。
1. 在服务列表中选择 **AWS 账户管理**。
1. 选择 **Enable trusted access (启用可信访问)**。
1. 在**启用 AWS 账户管理的可信访问权限**对话框中,键入**启用**进行确认,然后选择**启用可信访问权限**。
1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。 AWS 账户管理
------
#### [ AWS CLI, AWS API ]
**使用 OrganizationsCLI/SDK 启用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
运行以下命令以在 Organi AWS 账户管理 zations 中启用可信服务。
```
$ aws organizations enable-aws-service-access \
--service-principal account.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## 禁用账户管理可信访问权限
有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问权限 AWS 账户管理。
您只能使用 Organizations 工具禁用可信访问权限。
您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。
------
#### [ AWS 管理控制台 ]
**使用 Organizations 控制台禁用信任服务访问权限**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在导航窗格中,选择**服务**。
1. 在服务列表中选择 **AWS 账户管理**。
1. 选择 **Disable trusted access(禁用信任访问权限)**。
1. 在**禁用 AWS 账户管理的可信访问权限**对话框中,键入**禁用**进行确认,然后选择**禁用可信访问权限**。
1. 如果您仅是的管理员 AWS Organizations,请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS 账户管理
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 禁用信任服务访问权限**
您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
运行以下命令在 Organiz AWS 账户管理 ations 中禁用可信服务。
```
$ aws organizations disable-aws-service-access \
--service-principal account.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 为账户管理功能启用委托管理员账户
当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 AWS 账户 元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。
**最小权限**
只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织的账户管理委托管理员。
有关如何配置委托策略的一般说明,请参阅 [使用创建基于资源的授权策略 AWS Organizations使用以下命令更新基于资源的授权策略 AWS Organizations](orgs-policy-delegate.md)。
------
#### [ AWS CLI, AWS API ]
如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令:
+ AWS CLI:
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal account.amazonaws.com
```
+ AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。
------