本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Identity and Access Management 和 AWS Organizations
<a name="services-that-can-integrate-iam"></a>

AWS Identity and Access Management 是一项用于安全控制服务访问的 Web AWS 服务。

您可以使用 IAM 中[服务上次访问的数据](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)，以帮助您更好地了解组织中的 AWS 活动。您可以使用这些数据来创建和更新[服务控制策略 (SCPs)](orgs_manage_policies_scps.md)，这些策略将访问权限仅限于您的组织账户使用的 AWS 服务。

有关示例，请参阅《IAM 用户指南》**中的[使用数据来细化组织部门的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)。

IAM 允许您集中管理根用户凭证，并对成员账户执行特权任务。启用根访问权限管理（在中为 IAM 启用可信访问权限）后 AWS Organizations，您可以集中保护成员账户的根用户证书。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。IAM 管理账户或委派管理员账户也可以使用短期根访问权限，对成员账户执行一些特权任务。短期特权会话为您提供临时凭证，您可以限定这些凭证的范围，以对组织中的成员账户执行特权操作。

有关更多信息，请参阅《IAM 用户指南》**中的[集中管理成员账户的根访问权限](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。

使用以下信息来帮助您集 AWS Identity and Access Management 成 AWS Organizations。

## 启用 IAM 的可信访问权限
<a name="integrate-enable-ta-iam"></a>

如果您启用根访问权限管理， AWS Organizations中会启用 IAM 的可信访问权限。

## 禁用 IAM 的可信访问权限
<a name="integrate-disable-ta-iam"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理账户中的管理员才能使用禁用可信访问 AWS Identity and Access Management。

您只能使用 Organizations 工具禁用可信访问权限。

您可以使用 AWS Organizations 控制台、运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。

------
#### [ AWS 管理控制台 ]

**使用 Organizations 控制台禁用信任服务访问权限**

1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在导航窗格中，选择**服务**。

1. 在服务列表中选择 **AWS Identity and Access Management**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 在**禁用 AWS Identity and Access Management的可信访问权限**对话框中，键入**禁用**进行确认，然后选择**禁用可信访问权限**。

1. 如果您仅是的管理员 AWS Organizations，请告知管理员他们现在可以使用服务控制台或工具禁止 AWS Organizations 使用该服务。 AWS Identity and Access Management 

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
您可以使用以下 AWS CLI 命令或 API 操作来禁用可信服务访问权限：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令在 Organiz AWS Identity and Access Management ations 中禁用可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ AWS API：[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 启用 IAM 委派管理员账户
<a name="integrate-enable-da-iam"></a>

将成员账户指定为组织的委派管理员后，该账户中的用户和角色可在成员账户上执行本来只能由组织管理账户中的用户或角色执行的特权任务。有关更多信息，请参阅《IAM 用户指南》中的[在 Organizations 成员账户上执行特权任务](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html)。

只有组织管理账户中的管理员才能配置 IAM 委派管理员。

您可以通过 IAM 控制台或 API，或者通过使用 Organizations CLI 或 SDK 操作来指定委派管理员账户。

## 禁用 IAM 委派管理员
<a name="integrate-disable-da-iam"></a>

只有 Organizations 管理账户或 IAM 委派管理员账户中的管理员才能从组织中移除委派管理员账户。您可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来禁用委派管理。