Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para la cuenta de administración

Siga estas recomendaciones para ayudar a proteger la seguridad de la cuenta de administración en AWS Organizations. Estas recomendaciones suponen que también se adhiere a las Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran.

Limitar quién tiene acceso a la cuenta de administración

La cuenta de administración es clave para todas las tareas administrativas mencionadas, como la administración de cuentas, las políticas, la integración con otras Servicios de AWS, la facturación unificada, etc. Por lo tanto, debe restringir y limitar el acceso a la cuenta de administración solo a los usuarios administradores que necesiten derechos para realizar cambios en la organización.

Revisar quién tiene acceso y realizar un seguimiento

Para asegurarse de mantener el acceso a la cuenta de administración, revise periódicamente el personal de su empresa que tiene acceso a la dirección de correo electrónico, la contraseña y el número de teléfono asociados a ella. MFA Alinee su revisión con los procedimientos comerciales existentes. Agregue una revisión mensual o trimestral de esta información para asegurarse de que solo las personas correctas tengan acceso. Asegúrese de que el proceso para recuperar o restablecer el acceso a las credenciales del usuario raíz no dependa de que se complete ninguna persona específica. Todos los procesos deben abordar la posibilidad de que las personas no estén disponibles.

Utilice la cuenta de administración solo para tareas que requieren la cuenta de administración

Se recomienda que utilice la cuenta de administración y sus usuarios y roles para tareas que solo puede realizar esa cuenta. Guarde todos sus AWS recursos Cuentas de AWS en otras partes de la organización y manténgalos fuera de la cuenta de administración. Una razón importante para mantener los recursos en otras cuentas es que las políticas de control de servicios de SCPs Organizations () no sirven para restringir ningún usuario o rol en la cuenta de administración. Separar los recursos de la cuenta de administración también lo ayudará a comprender los cargos de sus facturas.

Evitar la implementación de cargas de trabajo en la cuenta de administración de la organización

Las operaciones privilegiadas se pueden realizar dentro de la cuenta de administración de una organización y SCPs no se aplican a la cuenta de administración. Por eso, debe limitar los recursos y datos de la nube que contenga la cuenta de administración únicamente a los que deben administrarse en esta cuenta.

Delegar responsabilidades fuera de la cuenta de administración para la descentralización

Siempre que sea posible, se recomienda delegar responsabilidades y servicios fuera de la cuenta de administración. Proporcione a sus equipos permisos en sus propias cuentas para administrar las necesidades de la organización sin necesidad de acceder a la cuenta de administración. Además, puede registrar varios administradores delegados para los servicios que admiten esta funcionalidad, por ejemplo, AWS Service Catalog para compartir software en toda la organización o AWS CloudFormation StackSets para crear e implementar paquetes.

Para obtener más información, consulte Arquitectura de referencia de seguridad, Organización del AWS entorno mediante varias cuentas y sugerencias sobre cómo registrar Servicios de AWS que puedes usar con AWS Organizations las cuentas de los miembros como administradores delegados de varias cuentas. Servicios de AWS Para obtener más información sobre la configuración de administradores delegados, consulte Enabling a delegated admin account for AWS Account Management and Administrador delegado para AWS Organizations.