Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für das Verwaltungskonto

Befolgen Sie diese Empfehlungen in AWS Organizations, um die Sicherheit des Verwaltungskontos zu schützen. Bei diesen Empfehlungen wird davon ausgegangen, dass Sie sich auch an die bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklich erfordern.

Beschränken des Zugriffs auf das Verwaltungskonto auf bestimmte Personen

Das Verwaltungskonto ist der Schlüssel zu allen genannten Verwaltungsaufgaben wie Kontoverwaltung, Richtlinien, Integration mit anderen AWS -Services, konsolidierter Abrechnung usw. Daher sollten Sie den Zugriff auf das Verwaltungskonto auf die Admin-Benutzer beschränken, die Rechte benötigen, um Änderungen an der Organisation vornehmen zu können.

Überprüfen und Verfolgen des Zugriffs von Personen

Um sicherzustellen, dass Sie weiterhin Zugriff auf das Verwaltungskonto haben, überprüfen Sie regelmäßig, welche Mitarbeiter in Ihrem Unternehmen Zugriff auf die E-Mail-Adresse, das Passwort und die Telefonnummer habenMFA, die damit verknüpft sind. Richten Sie Ihre Überprüfung an bestehenden Geschäftsabläufen aus. Fügen Sie eine monatliche oder vierteljährliche Überprüfung dieser Informationen hinzu, um sicherzustellen, dass nur die richtigen Personen Zugang haben. Stellen Sie sicher, dass der Vorgang zum Wiederherstellen oder Zurücksetzen des Zugriffs auf die Stammbenutzeranmeldeinformationen nicht von einer bestimmten Person abhängig ist. Alle Prozesse sollten die Möglichkeit berücksichtigen, dass Personen nicht verfügbar sein können.

Verwenden Sie das Verwaltungskonto nur für Aufgaben, die das Verwaltungskonto erfordern

Wir empfehlen, das Verwaltungskonto und die zugehörigen Benutzer und Rollen für Aufgaben zu verwenden, die nur über dieses Konto ausgeführt werden müssen. Speichern Sie all Ihre AWS Ressourcen AWS-Konten in anderen Bereichen der Organisation und halten Sie sie vom Verwaltungskonto fern. Ein wichtiger Grund dafür, Ihre Ressourcen in anderen Konten zu behalten, liegt darin, dass die Dienststeuerungsrichtlinien (SCPs) von Organizations nicht dazu dienen, Benutzer oder Rollen im Verwaltungskonto einzuschränken. Durch die Trennung der Ressourcen vom Verwaltungskonto können Sie außerdem die Kosten auf Ihren Rechnungen leichter nachvollziehen.

Vermeiden der Bereitstellung von Workloads im Verwaltungskonto der Organisation

Privilegierte Operationen können innerhalb des Verwaltungskontos einer Organisation ausgeführt werden und gelten SCPs nicht für das Verwaltungskonto. Daher sollten Sie nur Cloud-Ressourcen und -Daten in das Verwaltungskonto aufnehmen, die dort verwaltet werden müssen.

Delegieren von Aufgaben außerhalb des Verwaltungskontos zur Dezentralisierung

Nach Möglichkeit sollten Aufgaben und Services außerhalb des Verwaltungskontos delegiert werden. Erteilen Sie den Teams in ihren eigenen Konten Berechtigungen zur Bewältigung der erforderlichen Aufgaben in der Organisation, sodass sie keinen Zugriff auf das Verwaltungskonto benötigen. Darüber hinaus können Sie mehrere delegierte Administratoren für Dienste registrieren, die diese Funktionalität unterstützen, z. B. AWS Service Catalog für die gemeinsame Nutzung von Software innerhalb der Organisation oder AWS CloudFormation StackSets für die Erstellung und Bereitstellung von Stacks.

Weitere Informationen finden Sie unter Security Reference Architecture, Organizing Your AWS Environment Using Multiple Accounts sowie Vorschläge AWS -Services die du verwenden kannst mit AWS Organizations zur Registrierung von Mitgliedskonten als delegierter Administrator für verschiedene. AWS -Services Weitere Informationen zum Einrichten delegierter Administratoren finden Sie unter Aktivieren eines Kontos für einen delegierten Administrator für AWS Account Management und Delegierter Administrator für AWS Organizations.