Bewährte Methoden für Mitgliedskonten - AWS Organizations
Definieren des Kontonamens und der AttributeEffizientes Skalieren Ihrer Umgebung und KontonutzungAktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Mitgliedskonten

Befolgen Sie diese Empfehlungen, um die Mitgliedskonten in Ihrer Organisation zu schützen. Bei diesen Empfehlungen wird davon ausgegangen, dass Sie sich auch an die bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklich erfordern.

Definieren des Kontonamens und der Attribute

Verwenden Sie für die Mitgliedskonten eine Benennungsstruktur und eine E-Mail-Adresse, die der Kontonutzung entsprechen. Zum Beispiel Workloads+fooA+dev@domain.com für WorkloadsFooADev oder Workloads+fooB+dev@domain.com für WorkloadsFooBDev. Wenn benutzerdefinierte Tags für Ihre Organisation definiert sind, sollten Sie diese Tags in Konten zuweisen, die die Kontonutzung, die Kostenstelle, die Umgebung und das Projekt widerspiegeln. Das erleichtert das Identifizieren und Organisieren von Konten und die Suche danach.

Effizientes Skalieren Ihrer Umgebung und Kontonutzung

Stellen Sie bei der Skalierung vor dem Erstellen neuer Konten sicher, dass es noch keine Konten für ähnliche Bedürfnisse gibt, um unnötige Doppelarbeit zu vermeiden. AWS-Konten sollte auf gemeinsamen Zugangsanforderungen basieren. Wenn Sie planen, die Konten wiederzuverwenden (z. B. als Sandbox-Konto oder ähnliches), sollten Sie nicht benötigte Ressourcen oder Workloads in den Konten bereinigen, die Konten jedoch für eine künftige Nutzung aufbewahren.

Beachten Sie vor dem Schließen von Konten, dass sie entsprechenden Kontingentlimits unterliegen. Weitere Informationen finden Sie unter Kontingente und Servicebeschränkungen für AWS Organizations. Implementieren Sie nach Möglichkeit einen Bereinigungsprozess, um Konten wiederzuverwenden, anstatt sie zu schließen. Auf diese Weise vermeiden Sie, dass Ihnen Kosten durch den Betrieb von Ressourcen und das Erreichen von CloseAccount API-Limits entstehen.

Aktivieren Sie die Root-Zugriffsverwaltung, um die Verwaltung der Root-Benutzeranmeldeinformationen für Mitgliedskonten zu vereinfachen

Wir empfehlen Ihnen, die Root-Zugriffsverwaltung zu aktivieren, damit Sie die Root-Benutzeranmeldeinformationen für Mitgliedskonten überwachen und entfernen können. Die Root-Zugriffsverwaltung verhindert die Wiederherstellung von Root-Benutzeranmeldedaten und verbessert so die Kontosicherheit in Ihrer Organisation.

  • Entfernen Sie die Root-Benutzeranmeldedaten für Mitgliedskonten, um zu verhindern, dass Sie sich beim Root-Benutzer anmelden. Dadurch wird auch verhindert, dass Mitgliedskonten den Root-Benutzer wiederherstellen können.

  • Gehen Sie von einer privilegierten Sitzung aus, um die folgenden Aufgaben für Mitgliedskonten auszuführen:

    • Entfernen Sie eine falsch konfigurierte Richtlinie für einen Bucket, die allen Prinzipalen den Zugriff auf einen Amazon-S3-Bucket verweigert.

    • Löschen Sie eine ressourcenbasierte Richtlinie von Amazon Simple Queue Service, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

    • Erlauben Sie einem Mitgliedskonto, seine Root-Benutzeranmeldedaten wiederherzustellen. Die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto kann das Root-Benutzerpasswort zurücksetzen und sich als Root-Benutzer des Mitgliedskontos anmelden.

Nachdem die Root-Zugriffsverwaltung aktiviert wurde, verfügen neu erstellte Mitgliedskonten über keine Root-Benutzeranmeldedaten, sodass keine zusätzlichen Sicherheitsvorkehrungen wie MFA nach der Bereitstellung erforderlich sind secure-by-default.

Weitere Informationen finden Sie im Benutzerhandbuch unter Zentralisierung der Root-Benutzeranmeldedaten für MitgliedskontenAWS Identity and Access Management .

Verwenden Sie einen SCP, um einzuschränken, was der Stammbenutzer in Ihren Mitgliedskonten tun kann

Es wird empfohlen, eine Service-Kontrollrichtlinie (Service Control Policy, SCP) in der Organisation zu erstellen und sie dem Stammverzeichnis der Organisation zuzuordnen, damit sie auf alle Mitgliedskonten angewendet wird. Weitere Informationen finden Sie unter Sichern von Root-Benutzer-Anmeldedaten für Ihr Organizations-Konto.

Sie können alle Root-Aktionen bis auf eine bestimmte, reine Root-Aktion ablehnen, die Sie in Ihrem Mitgliedskonto ausführen müssen. Das folgende SCP verhindert beispielsweise, dass der Root-Benutzer in einem Mitgliedskonto AWS Dienst-API-Aufrufe tätigt, mit Ausnahme von „Aktualisierung einer S3-Bucket-Richtlinie, die falsch konfiguriert war und allen Prinzipalen den Zugriff verweigert“ (eine der Aktionen, für die Root-Anmeldeinformationen erforderlich sind). Weitere Informationen finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

{
 "Version": "2012-10-17",

    "Statement": [

        {

            "Effect": "Deny",

            "NotAction":[

            "s3:GetBucketPolicy",

            "s3:PutBucketPolicy",

            "s3:DeleteBucketPolicy"

                 ],

            "Resource": "*",

            "Condition": {
 "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }

            }

        }

    ]
 }

In den meisten Fällen können alle Verwaltungsaufgaben von einer IAM-Rolle ( AWS Identity and Access Management ) im Mitgliedskonto mit entsprechenden Administratorberechtigungen ausgeführt werden. Auf diese Rollen sollten geeignete Kontrollen angewendet werden, um Aktivitäten einzuschränken, zu protokollieren und zu überwachen.