Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques relatives aux comptes membres
Suivez ces recommandations pour vous aider à protéger la sécurité des comptes membres de votre organisation. Ces recommandations supposent que vous respectez également les bonnes pratiques qui consistent à avoir recours à l'utilisateur racine uniquement pour les tâches qui le nécessitent vraiment.
Rubriques
Définir le nom et les attributs du compte
Pour vos comptes membres, utilisez une structure de dénomination et une adresse e-mail qui reflètent l'utilisation du compte. Par exemple, Workloads+fooA+dev@domain.com pour WorkloadsFooADev, Workloads+fooB+dev@domain.com pour WorkloadsFooBDev. Si vous avez défini des balises personnalisées pour votre organisation, nous vous recommandons d'attribuer ces balises à des comptes qui reflètent l'utilisation du compte, le centre de coûts, l'environnement et le projet. Cela facilite l'identification, l'organisation et la recherche des comptes.
Mise à l'échelle efficace de l'utilisation de votre environnement et de vos comptes
Au fur et à mesure que vous évoluez, avant de créer de nouveaux comptes, assurez-vous qu'il n'existe pas déjà de comptes répondant à des besoins similaires, afin d'éviter toute duplication inutile. Comptes AWS devrait être fondé sur des exigences d'accès communes. Si vous prévoyez de réutiliser les comptes, comme un compte d'environnement de test (sandbox) ou équivalent, nous vous recommandons de nettoyer les ressources ou charges de travail inutiles des comptes, mais de conserver les comptes pour une utilisation ultérieure.
Avant de fermer des comptes, notez qu'ils sont soumis à des limites de quotas de fermeture. Pour de plus amples informations, veuillez consulter Quotas et limites de service pour AWS Organizations. Pensez à mettre en œuvre un processus de nettoyage pour réutiliser les comptes au lieu de les fermer et d'en créer de nouveaux lorsque c'est possible. De cette façon, vous éviterez les coûts liés à l'exploitation des ressources et à l'atteinte des limites des CloseAccount API.
Activez la gestion de l'accès root pour simplifier la gestion des informations d'identification des utilisateurs root pour les comptes des membres
Nous vous recommandons d'activer la gestion de l'accès root pour vous aider à surveiller et à supprimer les informations d'identification des utilisateurs root pour les comptes des membres. La gestion de l'accès root empêche la récupération des informations d'identification de l'utilisateur root, améliorant ainsi la sécurité des comptes dans votre organisation.
Supprimez les informations d'identification de l'utilisateur root pour les comptes membres afin d'empêcher la connexion à l'utilisateur root. Cela empêche également les comptes membres de récupérer l'utilisateur root.
Supposons une session privilégiée pour effectuer les tâches suivantes sur les comptes des membres :
Supprimez une politique de compartiment mal configurée qui empêche tous les principaux d’accéder à un compartiment Amazon S3.
Supprimez une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.
Autoriser un compte membre à récupérer ses informations d'identification d'utilisateur root. La personne ayant accès à la boîte e-mail de l'utilisateur root pour le compte membre peut réinitialiser le mot de passe de l'utilisateur root et se connecter en tant qu'utilisateur root du compte membre.
Une fois la gestion de l'accès root activée, les comptes membres nouvellement créés sont secure-by-default dépourvus d'informations d'identification d'utilisateur root, ce qui élimine le besoin d'une sécurité supplémentaire, telle que l'authentification MFA après le provisionnement.
Pour plus d'informations, voir Centraliser les informations d'identification des utilisateurs root pour les comptes des membres dans le Guide de l'AWS Identity and Access Management utilisateur.
Utiliser une politique de contrôle des services (SCP) pour restreindre ce que l'utilisateur racine de vos comptes membres peut faire
Nous vous recommandons de créer une politique de contrôle des services (SCP) dans l'organisation et de l'attacher à la racine de l'organisation de manière à ce qu'elle s'applique à tous les comptes membres. Pour plus d'informations, consultez Sécurisez les informations d’identification d'utilisateur root de votre compte Organizations.
Vous pouvez refuser toutes les actions de l'utilisateur root, à l'exception d'une action spécifique que vous devez effectuer dans votre compte membre. Par exemple, le SCP suivant empêche l'utilisateur root d'un compte membre d'effectuer des appels d'API de AWS service, à l'exception de « Mettre à jour une politique de compartiment S3 mal configurée et refusant l'accès à tous les principaux » (l'une des actions nécessitant des informations d'identification root). Pour plus d'informations, consultez la rubrique Tâches nécessitant des informations d'identification d'utilisateur root du Guide de l'utilisateur IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotAction":[ "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }
Dans la majorité des cas, toutes les tâches administratives peuvent être exécutées par un rôle AWS Identity and Access Management (IAM) dans le compte membre disposant des autorisations d'administrateur appropriées. Tout rôle de ce type doit avoir des contrôles appropriés appliqués pour limiter, journaliser et surveiller les activités.
