本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 API 操作模式
使用 的屬性 AWS 帳戶的 API 操作一律以兩種操作模式之一運作:
+ **獨立內容** – 當帳戶中的使用者或角色存取或變更***相同***帳戶中的帳戶屬性時,就會使用此模式。當您呼叫其中一個帳戶管理 AWS CLI 或 AWS SDK 操作時***,未***包含 `AccountId` 參數時,會自動使用獨立內容模式。
+ **組織內容** – 當組織中某個帳戶中的使用者或角色存取或變更同一組織中不同成員帳戶中的帳戶屬性時,就會使用此模式。當您呼叫其中一個帳戶管理 AWS CLI 或 AWS SDK 操作時,***如果包含*** `AccountId` 參數,則會自動使用組織內容模式。您只能從組織的管理帳戶或帳戶管理的委派管理員帳戶呼叫此模式中的操作。
AWS CLI 和 AWS SDK 操作可以在獨立或組織環境中運作。
+ 如果您***未***包含 `AccountId` 參數,則操作會在獨立內容中執行,並自動將請求套用至您用來提出請求的帳戶。無論帳戶是否為組織的成員,都是如此。
+ 如果您包含 `AccountId` 參數,則操作會在組織內容中執行,而操作會在指定的 Organizations 帳戶上執行。
+ 如果呼叫操作的帳戶是帳戶管理服務的管理帳戶或委派管理員帳戶,則您可以在 `AccountId` 參數中指定該組織的任何成員帳戶,以更新指定的帳戶。
+ 組織中唯一可以呼叫其中一個替代聯絡操作並在 `AccountId` 參數中指定自己的帳戶號碼的帳戶,是指定為帳戶管理服務的[委派管理員帳戶](using-orgs-delegated-admin.md)的帳戶。任何其他帳戶,包括管理帳戶,都會收到`AccessDenied`例外狀況。
+ 如果您以獨立模式執行 操作,則必須允許您使用包含 `Resource`元素的 IAM 政策來執行 操作,`"*"`以允許所有資源,或使用[獨立帳戶語法的 ARN](#account-arn-standalone)。
+ 如果您在組織模式下執行 操作,則必須允許您使用包含 `Resource`元素的 IAM 政策來執行操作`"*"`,以允許所有資源,或使用[組織中成員帳戶語法的 ARN](#account-arn-organizations)。
## 授予更新帳戶屬性的許可
與大多數 AWS 操作一樣,您可以使用 IAM AWS 帳戶 許可政策授予新增、更新或刪除 帳戶屬性的許可。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)當您將 IAM 許可政策連接至 IAM 主體 (使用者或角色) 時,您可以指定主體可以對哪些資源執行哪些動作,以及在哪些條件下執行哪些動作。
以下是建立許可政策的一些帳戶管理特定考量。
### 的 Amazon Resource Name 格式 AWS 帳戶
+ 您可以 AWS 帳戶 包含在政策陳述式 `resource`元素中的 的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html),會根據您要參考的帳戶是獨立帳戶還是組織中的帳戶,以不同的方式建構。請參閱上一節[了解 API 操作模式](#manage-acct-api-modes-of-operation)。
+ 獨立帳戶的帳戶 ARN:
```
arn:aws:account::{AccountId}:account
```
當您在獨立模式下執行帳戶屬性操作時,如果不包含 `AccountID` 參數,則必須使用此格式。
+ 組織中成員帳戶的帳戶 ARN:
```
arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}
```
當您在組織模式下執行帳戶屬性操作時,必須包含 `AccountID` 參數,才能使用此格式。
### IAM 政策的內容索引鍵
Account Management 服務也提供數個 [Account Management 服務特定條件金鑰](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys),可讓您精細控制您授予的許可。
#### `account:AccountResourceOrgPaths`
內容索引鍵`account:AccountResourceOrgPaths`可讓您透過組織的階層指定通往特定組織單位 (OU) 的路徑。只有該 OU 包含的成員帳戶符合條件。下列範例程式碼片段會限制政策僅套用至位於兩個指定 OUs 其中之一的帳戶。
由於 `account:AccountResourceOrgPaths` 是多值字串類型,您必須使用 [`ForAnyValue`或`ForAllValues`多值字串運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)。此外,請注意,即使您參考組織中 OUs路徑`account`,條件索引鍵上的字首為 。
```
"Condition": {
"ForAnyValue:StringLike": {
"account:AccountResourceOrgPaths": [
"o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*",
"o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
]
}
}
```
#### `account:AccountResourceOrgTags`
內容索引鍵`account:AccountResourceOrgTags`可讓您參考可連接到組織中帳戶的標籤。標籤是金鑰/值字串對,可用來分類和標記帳戶中的資源。如需標記的詳細資訊,請參閱*AWS Resource Groups 《 使用者指南*》中的[標籤編輯器](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html)。如需在屬性型存取控制策略中使用標籤的資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC for AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。下列範例程式碼片段會將政策限制為僅套用至組織中具有 金鑰標籤`project`且值為 `blue`或 的帳戶`red`。
由於 `account:AccountResourceOrgTags` 是多值字串類型,您必須使用 [`ForAnyValue`或`ForAllValues`多值字串運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)。此外,請注意,即使您參考組織成員帳戶上的標籤`account`,條件索引鍵上的字首為 。
```
"Condition": {
"ForAnyValue:StringLike": {
"account:AccountResourceOrgTags/project": [
"blue",
"red"
]
}
}
```
**注意**
您只能將標籤連接到組織中的帳戶。您無法將標籤連接至獨立 AWS 帳戶。