本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Identity and Access Management 而且 AWS Organizations
<a name="services-that-can-integrate-iam"></a>

AWS Identity and Access Management 是一種 Web 服務，可安全地控制對 AWS 服務的存取。

您可以在 IAM 中使用[上次存取的服務資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)，以協助您更好地了解整個組織的 AWS 活動。您可以使用此資料來建立和更新[服務控制政策 (SCP)](orgs_manage_policies_scps.md)，將存取限制在僅限您組織帳戶所用的 AWS 服務。

如需範例，請參閱 *IAM 使用者指南*中的[使用資料來精簡組織單位的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)中的

IAM 可讓您集中管理根使用者憑證，並在成員帳戶上執行特權任務。在 中啟用啟用 IAM 受信任存取的根存取管理之後 AWS Organizations，您可以集中保護成員帳戶的根使用者憑證。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。IAM 的管理帳戶或委派管理員帳戶也可以使用短期根存取權，對成員帳戶執行一些特殊權限任務。短期特權工作階段會為您提供臨時憑證，以便您可以確定相關範圍，對組織中的成員帳戶採取特權動作。

如需詳細資訊，請參閱《 IAM 使用者指南》**中的[集中管理成員帳戶的根存取權](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。

使用下列資訊來協助您 AWS Identity and Access Management 整合 AWS Organizations。

## 使用 IAM 啟用受信任存取
<a name="integrate-enable-ta-iam"></a>

當您啟用根存取管理時， 中的 IAM 會啟用受信任存取 AWS Organizations。

## 使用 IAM 停用受信任存取
<a name="integrate-disable-ta-iam"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 停用受信任存取 AWS Identity and Access Management。

您只能使用 Organizations 工具停用受信任存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS 管理主控台 ]

**使用 Organizations 主控台來受信停用任的服務存取**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在導覽窗格中，選擇**服務**。

1. **AWS Identity and Access Management** 在服務清單中選擇 。

1. 選擇**停用受信任的存取**。

1. 在**停用受信任存取對話方塊中 AWS Identity and Access Management**，輸入**停用**以確認，然後選擇**停用受信任存取**。

1. 如果您只是 的管理員 AWS Organizations，請告訴管理員 AWS Identity and Access Management ，他們現在可以使用 服務 AWS Organizations 主控台或工具 停用該服務。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
您可以使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令，將 停用 AWS Identity and Access Management 為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal iam.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 IAM 的委派管理員帳戶
<a name="integrate-enable-da-iam"></a>

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對成員帳戶執行特權任務，否則只能由組織管理帳戶中的使用者或角色執行。如需詳細資訊，請參閱《IAM 使用者指南》中的[在 Organizations 成員帳戶上執行特權任務](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html)。

只有組織管理帳戶中的管理員可以設定 IAM 的委派管理員。

您可以從 IAM 主控台或 API，或使用 Organizations CLI 或 SDK 操作來指定委派管理員帳戶。

## 停用 IAM 的委派管理員
<a name="integrate-disable-da-iam"></a>

只有 Organizations 管理帳戶或 IAM 委派管理員帳戶中的管理員，才能從組織中移除委派管理員帳戶。您可以使用 Organizations CLI 或 SDK `DeregisterDelegatedAdministrator` 操作來停用委派的管理。