Prácticas recomendadas para un entorno de varias cuentas - AWS Organizations
Cuenta y credencialesEstructura organizativa y cargas de trabajoAdministración de costos y servicio

Prácticas recomendadas para un entorno de varias cuentas

Siga estas recomendaciones como ayuda para configurar y administrar un entorno de varias cuentas en AWS Organizations.

Cuenta y credenciales

Utilizar una contraseña segura para el usuario raíz

Se recomienda utilizar una contraseña segura y única. Existen varios administradores de contraseñas y algoritmos y herramientas de generación de contraseñas seguras que pueden ayudar a lograr estos objetivos. Para más información, consulte Cambiar la contraseña para Usuario raíz de la cuenta de AWS. Utilice la política de seguridad de la información de su empresa para administrar el almacenamiento a largo plazo y el acceso a la contraseña del usuario raíz. Se recomienda almacenar la contraseña en un sistema de administración de contraseñas o equivalente que cumpla con los requisitos de seguridad de su organización. Para evitar crear una dependencia circular, no almacene la contraseña del usuario raíz con herramientas que dependen de AWS en los que inicia sesión con la cuenta protegida. Sea cual sea el método que elija, se recomienda que priorice la resiliencia y que considere la posibilidad de solicitar a varios actores que autoricen el acceso a este almacén para mejorar la protección. Se debe registrar y supervisar cualquier acceso a la contraseña o a su ubicación de almacenamiento. Para obtener recomendaciones adicionales sobre contraseñas del usuario raíz, consulte Mejores prácticas del usuario raíz para su Cuenta de AWS.

Documentar los procesos para el uso de las credenciales de usuario raíz

Documente la ejecución de procesos importantes a medida que se llevan a cabo para asegurarse de que tiene un registro de las personas involucradas en cada paso. Para administrar la contraseña, se recomienda utilizar un administrador de contraseñas cifradas que sea seguro. También es importante proporcionar documentación sobre las excepciones y eventos imprevistos que se puedan presentar. Para obtener más información, consulte Solución de problemas de inicio de sesión de AWS Management Console en la Guía del usuario de inicio de sesión AWS y Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

Compruebe y valide que sigue teniendo acceso al usuario raíz y que el número de teléfono de contacto funcione al menos trimestralmente. Esto ayuda a asegurar al negocio que el proceso funciona y que usted mantiene el acceso al usuario raíz. También demuestra que las personas responsables del acceso raíz comprenden los pasos que deben seguir para que el proceso se complete correctamente. Para aumentar el tiempo de respuesta y el éxito, es importante asegurarse de que todo el personal que participa en un proceso comprenda exactamente lo que debe hacer en caso de que sea necesario acceder.

Habilitar MFA para las credenciales de usuario raíz

Le recomendamos que habilite varios dispositivos de autenticación multifactor (MFA) para el usuario raíz de la Cuenta de AWS y los usuarios de IAM en sus Cuentas de AWS. Esto le permite subir el nivel de seguridad en sus Cuentas de AWS y simplificar la administración del acceso a usuarios altamente privilegiados, como el usuario raíz de la Cuenta de AWS. Para satisfacer las diferentes necesidades de los clientes, AWS admite tres tipos de dispositivos MFA para IAM, que incluyen las claves de seguridad FIDO, las aplicaciones de autenticación virtual y los tokens de hardware de contraseña temporal de un solo uso (TOTP) por tiempo.

Cada tipo de autenticador tiene propiedades físicas y de seguridad ligeramente diferentes que son las más adecuadas para diferentes casos de uso. Las claves de seguridad FIDO2 ofrecen el nivel de seguridad más alto y son resistentes a la suplantación de identidad. Cualquier forma de MFA ofrece una postura de seguridad más sólida que la autenticación solo con contraseña; le recomendamos encarecidamente que agregue algún tipo de MFA a su cuenta. Seleccione el tipo de dispositivo que mejor se adapte a sus requisitos operativos y de seguridad.

Si elige un dispositivo que funciona con batería para ser su autenticador principal, como un token de hardware de TOTP, considere también la posibilidad de registrar un autenticador que no dependa de la batería como mecanismo de respaldo. También es esencial comprobar periódicamente la funcionalidad del dispositivo y reemplazarlo antes de la fecha de caducidad para mantener un acceso ininterrumpido. Independientemente del tipo de dispositivo que elija, se recomienda registrar al menos dos dispositivos (IAM admite hasta ocho dispositivos MFA por usuario) para aumentar la resiliencia ante la pérdida o los errores del dispositivo.

Siga la política de seguridad de la información de su organización para almacenar el dispositivo MFA correctamente. Se recomienda que guarde el dispositivo MFA por separado de la contraseña asociada. Esto garantiza que el acceso a la contraseña y al dispositivo MFA requiera diferentes recursos (personas, datos y herramientas). Esta separación agrega una capa adicional de protección contra el acceso no autorizado. También se recomienda registrar y supervisar cualquier acceso al dispositivo MFA o a su ubicación de almacenamiento. Esto ayuda a detectar accesos no autorizados y responder ante ellos.

Para obtener más información, consulte Asegure el inicio de sesión de su usuario raíz con el autenticación multifactor (MFA) en en la Guía del usuario de IAM. Para obtener instrucciones sobre cómo habilitar la MFA, consulte Uso de autenticación multifactor (MFA) en AWS y Habilitación de dispositivos MFA para usuarios en AWS.

Aplicar controles para monitorear el acceso a las credenciales del usuario raíz

El acceso a las credenciales de usuario raíz debe ser un evento raro. Cree alertas con ayuda de herramientas como Amazon EventBridge para anunciar el inicio de sesión y el uso de las credenciales de usuario raíz de la cuenta de administración. Esta alerta debe incluir, entre otras cosas, la dirección de correo electrónico utilizada para el propio usuario raíz. Esta alerta debe ser significativa y difícil de pasar por alto. Para ver un ejemplo, consulte Monitorear y notificar en actividad del usuario raíz Cuenta de AWS. Compruebe que el personal que recibe dicha alerta entienda cómo validar que se espera el acceso del usuario raíz y cómo escalar si se cree que un incidente de seguridad está en curso. Para más información, consulte Informar acerca de correos electrónicos sospechosos o Informes de vulnerabilidad. Como alternativa, puede ponerse en contacto con AWS para obtener ayuda y orientación adicional.

Mantener actualizado el número de teléfono de contacto

Para recuperar el acceso a su Cuenta de AWS, es crucial tener un número de teléfono de contacto válido y activo que le permita recibir mensajes de texto o llamadas. Se recomienda que utilice un número de teléfono específico para asegurarnos de que AWS puede ponerse en contacto con usted con fines de soporte y recuperación de la cuenta. Puede ver y administrar fácilmente los números de teléfono de su cuenta a través de la AWS Management Console o de nuestras API de administración de cuentas.

Hay varias formas de obtener un número de teléfono específico que garantice que AWS pueda comunicarse con usted. Se recomienda encarecidamente que consiga una tarjeta SIM dedicada y un teléfono físico. Guarde el teléfono y la tarjeta SIM de forma segura y a largo plazo para garantizar que el número de teléfono permanezca disponible para la recuperación de la cuenta. Asegúrese también de que el equipo responsable de la factura del móvil comprenda la importancia de este número, incluso si permanece inactivo durante periodos prolongados. Es esencial mantener la confidencialidad de este número de teléfono dentro de su organización para garantizar protección adicional.

Documente el número de teléfono en la página de la consola de información de contacto de AWS y comparta su información con los equipos específicos que deben conocerla dentro de su organización. Este enfoque ayuda a minimizar el riesgo asociado con la transferencia del número de teléfono a una tarjeta SIM diferente. Almacene el teléfono de acuerdo con su política de seguridad de la información existente. Sin embargo, no almacene el teléfono en la misma ubicación que la otra información de credenciales relacionada. Se debe registrar y supervisar cualquier acceso al teléfono o a su ubicación de almacenamiento. Si el número de teléfono asociado a una cuenta cambia, implemente procesos para actualizar dicho número en la documentación existente.

Utilizar una dirección de correo electrónico de grupo para todas las cuentas raíz

Utilice una dirección de correo electrónico administrada por su empresa. Utilice una dirección de correo electrónico que reenvíe los mensajes recibidos directamente a un grupo de usuarios. En el caso de que AWS necesite ponerse en contacto con el titular de la cuenta, por ejemplo, para confirmar el acceso, el mensaje de correo electrónico se distribuirá a varias partes. Este enfoque ayuda a reducir el riesgo de retrasos en la respuesta, incluso si las personas están de vacaciones, se enferman o abandonan el negocio.

Estructura organizativa y cargas de trabajo

Administrar cuentas dentro de una sola organización

Se recomienda crear una sola organización y administrar todas las cuentas que se encuentran en ella. Una organización es una barrera de seguridad que le permite mantener la coherencia entre las cuentas de su entorno. Puede aplicar políticas o configuraciones de nivel de servicio de forma centralizada en todas las cuentas de una organización. Si desea habilitar políticas coherentes, visibilidad central y controles programáticos en su entorno de varias cuentas, lo mejor es hacerlo dentro de una sola organización.

Agrupar cargas de trabajo en función del propósito empresarial y no de la estructura de informes

Se recomienda aislar los entornos de carga de trabajo de producción y los datos en sus unidades organizativas de nivel superior orientadas a las cargas de trabajo. Sus unidades organizativas deben basarse en un conjunto común de controles, en lugar de reproducir la estructura de informes de la empresa. Además de las unidades organizativas de producción, se recomienda que defina una o más unidades organizativas que no sean de producción y que contengan cuentas y entornos de carga de trabajo que se utilicen para desarrollar y comprobar las cargas de trabajo. Para más información, consulte Organizing workload-oriented OUs.

Utilizar varias cuentas para organizar cargas de trabajo

Una Cuenta de AWS ofrece seguridad natural, acceso y límites de facturación para sus recursos de AWS. El uso de varias cuentas tiene sus ventajas, ya que permite distribuir las cuotas de nivel de cuenta y los límites de tasa de solicitudes de API, además de las ventajas adicionales que se enumeran a continuación. Se recomienda utilizar varias cuentas básicas de toda la organización, como cuentas de seguridad, registro e infraestructura. En el caso de las cuentas de carga de trabajo, debe separar las cargas de trabajo de producción de las cargas de trabajo de comprobación o desarrollo en cuentas independientes.

Administración de costos y servicio

Habilitar los servicios de AWS en el nivel de la organización mediante la consola de servicios o las operaciones de la API o de la CLI

Como práctica recomendada, se sugiere habilitar o deshabilitar cualquier servicio con el que quiera integrarse en AWS Organizations con la consola de ese servicio, las operaciones de la API o los equivalentes de comandos de la CLI. Con este método, el servicio de AWS puede llevar a cabo todos los pasos de inicialización necesarios para su organización, como crear los recursos necesarios y eliminar recursos al deshabilitar el servicio. AWS Account Management es el único servicio que requiere el uso de la consola de AWS Organizations o las API para habilitarlo. Para revisar la lista de servicios con los que se integra AWS Organizations, consulte Servicios de AWS que puede usar con AWS Organizations.

Utilizar las herramientas de facturación para realizar un seguimiento de los costos y optimizar el uso de los recursos

Al administrar una organización, recibe una factura consolidada que cubre todos los cargos de las cuentas de su organización. Para los usuarios empresariales que necesiten acceder a la visibilidad de los costes, puede proporcionar una función en la cuenta de administración con permisos restringidos de solo lectura para revisar las herramientas de facturación y costos. Por ejemplo, puede crear un conjunto de permisos que proporcione acceso a los informes de facturación o utilizar el AWS Cost Explorer Service (una herramienta de visualización de tendencias de los costos a lo largo del tiempo) y servicios rentables, como Lente de almacenamiento de Amazon S3 y AWS Compute Optimizer.

Planificar la estrategia de etiquetado y la aplicación de las etiquetas en todos los recursos de la organización

A medida que las cuentas y cargas de trabajo aumentan, las etiquetas pueden ser una característica útil para el seguimiento de costos, el control de acceso y la organización de los recursos. Para las estrategias de etiquetado y nomenclatura, siga las instrucciones que se indican en Tagging your AWS resources. Además de los recursos, puede crear etiquetas en la raíz de la organización, las cuentas, las unidades organizativas y las políticas. Consulte la sección Building your tagging strategy para obtener más información.