本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理管理帳戶 AWS Organizations
*管理帳戶*是您 AWS 帳戶 用來建立組織的 。
管理帳戶是組織的最終擁有者,擁有安全、基礎設施和財務政策的最終控制權。此帳戶具有付款人帳戶的角色,並負責支付其組織中帳戶產生的所有費用。
本主題說明如何使用 管理 管理帳戶 AWS Organizations。
**Topics**
+ [管理帳戶的最佳實務](orgs_best-practices_mgmt-acct.md)
+ [關閉管理帳戶](orgs_manage_accounts_close_management.md)
# 管理帳戶的最佳實務
請遵循這些推薦,協助保護 AWS Organizations中管理帳戶的安全。這些推薦假設,您同時遵守[僅將根使用者用於那些真正需要它的任務的最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [限制有權存取管理帳戶的使用者](#bp_mgmt-acct_limit-access)
+ [審查並追蹤誰擁有存取權](#bp_mgmt-acct_review-access)
+ [管理帳戶僅用於***需要***管理帳戶的任務](#bp_mgmt-acct_use-mgmt)
+ [避免將工作負載部署到組織的管理帳戶](#bp_mgmt-acct_avoid-deploying)
+ [委派管理帳戶以外的職責來進行去集中化](#bp_mgmt-acct_)
## 限制有權存取管理帳戶的使用者
管理帳戶是所有上述管理任務的關鍵,例如帳戶管理、政策、與其他 AWS 服務的整合、合併帳單等。因此,您應該限制管理帳戶的存取權,並將此存取權侷限在需要權限來對組織進行變更的管理員使用者。
## 審查並追蹤誰擁有存取權
為確保您仍擁有管理帳戶的存取權,請定期檢閱您企業內有權存取與其關聯之電子郵件地址、密碼、MFA 和電話號碼的人員。將您的審查與現有的商業程序保持一致。為了確保只有正確的使用者才能存取,請新增此資訊的每月或每季審查。請確定,復原或重設根使用者憑證存取權的程序不依賴於任何特定個人來完成。所有程序都應解決人們無法使用的預期。
## 管理帳戶僅用於***需要***管理帳戶的任務
我們建議您僅將該管理帳戶及其使用者和角色用於必須僅由該帳戶執行的任務。將您的所有 AWS 資源存放在組織中的其他 AWS 帳戶 中,並將其保存在管理帳戶中。將資源保存在其他帳戶的一個重要原因是,因為 Organizations 服務控制政策 (SCP) 無法限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開,也會協助您瞭解發票上的費用。
如需必須從管理帳戶呼叫的任務清單,請參閱[只能從組織的管理帳戶呼叫的操作。 ](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account)
## 避免將工作負載部署到組織的管理帳戶
獲得授權的作業可以在組織的管理帳戶內執行,SCP 不適用於管理帳戶。這就是為什麼您應該將管理帳戶中包含的雲端資源和資料限制為只能在管理帳戶中管理的資源和資料。
## 委派管理帳戶以外的職責來進行去集中化
如果可能的話,我們建議在管理帳戶之外委派職責和服務。為您的團隊提供自己帳戶中的權限,以便管理組織的需求,而無需存取管理帳戶。此外,您可以為支援此功能的服務註冊多個委派管理員,例如 AWS Service Catalog 用於跨組織共用軟體,或用於撰寫和部署堆疊的 CloudFormation StackSets。
如需詳細資訊,請參閱[安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)、[使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html),以及將成員帳戶註冊為各種 AWS 服務的委派管理員[AWS 服務 您可以搭配 使用 AWS Organizations](orgs_integrate_services_list.md)的建議。
如需設定委派管理員的詳細資訊,請參閱[為 AWS 帳戶管理啟用委派的管理員帳戶](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html)和 [的委派管理員 AWS Organizations](orgs_delegate_policies.md)。
# 關閉組織中的管理帳戶
若要關閉組織中的管理帳戶,您必須先[關閉](orgs_manage_accounts_close.md)或[移除](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)組織中的所有成員帳戶。關閉管理帳戶的行為也會刪除 的執行個體, AWS Organizations 以及您在[關閉後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)到期後在該組織內建立的任何政策。
## 關閉管理帳戶
使用下列程序來關閉管理帳戶。
**重要**
在關閉管理帳戶之前,強烈建議您檢閱考量事項,並了解關閉帳戶的影響。如需詳細資訊,請參閱 [帳戶管理指南中的關閉帳戶前須知](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)事項和[關閉帳戶後須知事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)。 *AWS *
------
#### [ AWS Management Console ]
**從帳戶頁面關閉管理帳戶**
**注意**
您無法直接從 AWS Organizations 主控台關閉管理帳戶。
1. 以您要關閉之管理帳戶的[根使用者 AWS 管理主控台 身分登入](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) 。以 IAM 使用者或角色身分登入時,您無法關閉帳戶。
1. 確認您的組織中沒有剩餘的作用中成員帳戶。若要這樣做,請前往 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations)。如果您的成員帳戶仍在作用中,您將需要遵循 [使用 關閉組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_close.md)或 中提供的指引[從組織移除成員帳戶](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account),才能移至下一個步驟。
1. 在右上角的導覽列上,選擇您的帳戶名稱或號碼,然後選擇**帳戶**。
1. 在[**帳戶**頁面上](https://console.aws.amazon.com/billing/home#/account),選擇**關閉帳戶**按鈕。閱讀並確保您了解帳戶關閉指引。
1. 選擇**關閉帳戶**按鈕以啟動帳戶關閉程序。
1. 您應該會在幾分鐘內收到電子郵件確認,指出您的帳戶已關閉。
------
#### [ AWS CLI & AWS SDKs ]
中 AWS CLI 或其中一個 AWS SDKs API 操作不支援此任務。您只能使用 來執行此任務 AWS 管理主控台。
------