Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour un environnement multi-comptes
Suivez ces recommandations pour vous aider à configurer et à gérer un environnement multi-comptes dans AWS Organizations.
Rubriques
Compte et informations d'identification
Utilisation d'un mot de passe fort pour l'utilisateur root
Nous vous recommandons d'utiliser un mot de passe fort et unique. De nombreux gestionnaires de mots de passe ainsi que des algorithmes et des outils de génération de mots de passe forts peuvent vous aider à atteindre ces objectifs. Pour plus d'informations, voir Modification du mot de passe du Utilisateur racine d'un compte AWS. Utilisez la politique de sécurité des informations de votre entreprise pour gérer le stockage à long terme et l'accès au mot de passe de l'utilisateur root. Nous vous recommandons de stocker le mot de passe dans un système de gestion des mots de passe ou un système équivalent qui répond aux exigences de sécurité de votre organisation. Pour éviter de créer une dépendance circulaire, ne stockez pas le mot de passe de l'utilisateur root dans des outils qui dépendent de AWS les services auxquels vous vous connectez avec le compte protégé. Quelle que soit la méthode choisie, nous vous recommandons de donner la priorité à la résilience et d'envisager éventuellement de demander à plusieurs acteurs d'autoriser l'accès à ce coffre-fort pour une protection renforcée. Tout accès au mot de passe ou à son emplacement de stockage doit être consigné et surveillé. Pour des recommandations supplémentaires sur le mot de passe de l'utilisateur root, consultez les meilleures pratiques pour les utilisateurs root pour votre Compte AWS.
Documenter les processus d'utilisation des informations d'identification de l'utilisateur root
Documentez l'exécution des processus importants à mesure qu'ils sont effectués afin de veiller à posséder un registre des personnes impliquées dans chaque étape. Pour gérer le mot de passe, nous vous recommandons d'utiliser un gestionnaire de mot de passe sécurisé et chiffré. Il est également important de fournir une documentation sur les exceptions et les événements imprévus qui pourraient survenir. Pour plus d'informations, voir Résolution des problèmes AWS Management Console connectez-vous dans le AWS Guide de l'utilisateur de connexion et tâches nécessitant des informations d'identification de l'utilisateur root dans le guide de l'IAMutilisateur.
Au moins une fois par trimestre, testez et confirmez que vous avez toujours accès à l'utilisateur root et que le numéro de téléphone de contact est opérationnel. Cela permet de confirmer à l'entreprise que le processus fonctionne et que vous pouvez conserver l'accès à l'utilisateur root. Cela démontre également que les personnes responsables de l'accès root comprennent les étapes qu'elles doivent suivre pour que le processus réussisse. Pour améliorer le temps de réponse et la réussite, il est important de s'assurer que toutes les personnes impliquées dans un processus comprennent exactement ce qu'elles doivent faire en cas de besoin d'accès.
Activez MFA les informations d'identification de votre utilisateur root
Nous vous recommandons d'activer plusieurs appareils d'authentification MFA multifactorielle () sur Compte AWS utilisateur root et IAM utilisateurs de votre Comptes AWS. Cela vous permet de relever la barre de sécurité dans votre Comptes AWS et simplifiez la gestion de l'accès aux utilisateurs privilégiés, tels que Compte AWS utilisateur root. Pour répondre aux différents besoins des clients, AWS prend en charge trois types de MFA périphériquesIAM, notamment les clés de FIDO sécurité, les applications d'authentification virtuelle et les jetons matériels de mot de passe à usage unique (TOTP) basés sur le temps.
Chaque type d'authentificateur possède des propriétés physiques et de sécurité légèrement différentes qui conviennent mieux aux différents cas d'utilisation. FIDO2les clés de sécurité offrent le plus haut niveau de sécurité et résistent au phishing. Toute forme MFA offre une sécurité plus robuste que l'authentification par mot de passe uniquement, et nous vous recommandons vivement d'ajouter une forme ou une autre MFA à votre compte. Choisissez le type de dispositif qui correspond le mieux à vos exigences opérationnelles et de sécurité.
Si vous choisissez un appareil alimenté par batterie comme authentificateur principal, tel qu'un jeton TOTP matériel, pensez également à enregistrer un authentificateur qui n'utilise pas la batterie comme mécanisme de secours. Il est également essentiel de vérifier régulièrement la fonctionnalité du dispositif et de le remplacer avant la date d'expiration pour garantir un accès ininterrompu. Quel que soit le type d'appareil que vous choisissez, nous vous recommandons d'enregistrer au moins deux appareils (IAMprend en charge jusqu'à huit MFA appareils par utilisateur) afin d'accroître votre résilience en cas de perte ou de panne d'appareils.
Respectez la politique de sécurité des informations de votre entreprise pour le stockage de l'MFAappareil. Nous vous recommandons de stocker l'MFAappareil séparément du mot de passe associé. Cela garantit que l'accès au mot de passe et à l'MFAappareil nécessite différentes ressources (personnes, données et outils). Cette séparation ajoute une couche supplémentaire de protection contre les accès non autorisés. Nous vous recommandons également d'enregistrer et de surveiller tout accès à l'MFAappareil ou à son emplacement de stockage. Cela permet de détecter et d'intervenir en cas d'accès non autorisé.
Pour plus d'informations, voir Sécuriser la connexion de votre utilisateur root à l'aide de l'authentification multifactorielle (MFA) dans le guide de l'IAMutilisateur. Pour obtenir des instructions sur l'activationMFA, voir Utilisation de l'authentification multifactorielle (MFA) dans AWSet Activation MFA des appareils pour les utilisateurs de AWS.
Appliquer des contrôles pour surveiller l'accès aux informations d'identification de l'utilisateur racine
L'accès aux informations d'identification de l'utilisateur racine doit être un événement rare. Créez des alertes à l'aide d'outils tels EventBridge qu'Amazon pour annoncer la connexion et l'utilisation des informations d'identification de l'utilisateur root du compte de gestion. Cette alerte doit inclure, sans s'y limiter, l'adresse e-mail utilisée pour l'utilisateur root lui-même. Cette alerte doit être importante et difficile à manquer. Pour un exemple, voir Surveiller et notifier sur Compte AWS activité de l'utilisateur root
Garder le numéro de téléphone du contact à jour
Pour récupérer l'accès à votre Compte AWS, il est essentiel d'avoir un numéro de téléphone valide et actif qui vous permet de recevoir des SMS ou des appels. Nous vous recommandons d'utiliser un numéro de téléphone dédié pour vous assurer que AWS peut vous contacter à des fins d'assistance et de récupération de votre compte. Vous pouvez facilement consulter et gérer les numéros de téléphone de votre compte via AWS Management Console ou Gestion de compteAPIs.
Il existe différentes manières d'obtenir un numéro de téléphone dédié qui garantit AWS Je peux vous contacter. Nous vous recommandons vivement de vous procurer une SIM carte dédiée et un téléphone physique. Stockez le téléphone en toute sécurité et à SIM long terme pour garantir que le numéro de téléphone reste disponible pour le rétablissement du compte. Assurez-vous également que l'équipe responsable des factures de téléphonie mobile comprend l'importance de ce numéro, même s'il reste inactif pendant de longues périodes. Il est essentiel que ce numéro de téléphone reste confidentiel au sein de votre organisation pour une protection supplémentaire.
Inscrivez le numéro de téléphone dans le AWS Page de console des informations de contact, et partagez ses informations avec les équipes spécifiques qui doivent les connaître au sein de votre organisation. Cette approche permet de minimiser les risques associés au transfert du numéro de téléphone vers un autreSIM. Stockez le téléphone conformément à votre politique de sécurité des informations existante. Toutefois, ne stockez pas le téléphone au même endroit que les autres informations d'identification connexes. Tout accès au téléphone ou à son emplacement de stockage doit être consigné et surveillé. Si le numéro de téléphone associé à un compte change, mettez en place des processus de mise à jour du numéro de téléphone dans votre documentation existante.
Utiliser une adresse e-mail de groupe pour les comptes root
Utilisez une adresse e-mail gérée par votre entreprise. Utilisez une adresse e-mail gérée par votre entreprise. Dans le cas où AWS doit contacter le propriétaire du compte, par exemple, pour confirmer l'accès, le message électronique est distribué à plusieurs parties. Cette approche aide à réduire le risque de retards dans l'intervention, même si les personnes sont en vacances, malades ou ont quitté l'entreprise.
Structure de l'organisation et charges de travail
Gestion de vos comptes au sein d'une seule organisation
Nous vous recommandons de créer une organisation unique et de gérer tous vos comptes au sein de cette organisation. Une organisation est une frontière de sécurité qui vous permet de maintenir la cohérence entre les comptes dans votre environnement. Vous pouvez appliquer de manière centralisée des stratégies ou des configurations de niveau de service à tous les comptes d'une organisation. Si vous voulez appliquer des règles cohérentes, une visibilité centrale et des contrôles programmatiques dans votre environnement multi-comptes, il est préférable de le faire au sein d'une seule organisation.
Regrouper les charges de travail en fonction de l'objectif de l'entreprise et non de la structure hiérarchique
Nous vous recommandons d'isoler les environnements de charge de travail de production et les données dans le cadre de votre environnement orienté charge de travail OUs de haut niveau. Vous OUs devez vous baser sur un ensemble de contrôles communs plutôt que de refléter la structure hiérarchique de votre entreprise. Outre la productionOUs, nous vous recommandons de définir une ou plusieurs applications hors production OUs contenant des comptes et des environnements de charge de travail utilisés pour développer et tester des charges de travail. Pour obtenir des conseils supplémentaires, voir Organisation axée sur la charge de travail OUs.
Utiliser plusieurs comptes pour organiser vos charges de travail
Un Compte AWS fournit une sécurité naturelle, un accès et des limites de facturation pour votre AWS ressources. L'utilisation de plusieurs comptes présente des avantages, car elle vous permet de répartir les quotas au niveau des comptes et les limites de API taux de demande, ainsi que les avantages supplémentaires répertoriés ici. Nous vous recommandons d'utiliser un certain nombre de comptes de base à l'échelle de l'organisation, tels que les comptes pour la sécurité, la journalisation et l'infrastructure. Pour les comptes de charge de travail, vous devez séparer les charges de travail de production des charges de travail de test/développement dans des comptes distincts.
Gestion des services et des coûts
Enable AWS services au niveau organisationnel à l'aide de la console de service ou CLI des opérationsAPI/
À titre de bonne pratique, nous vous recommandons d'activer ou de désactiver tous les services auxquels vous souhaitez intégrer AWS Organizations en utilisant la console de ce service, ou API des opérations ou des CLI commandes équivalentes. À l'aide de cette méthode, le AWS le service peut effectuer toutes les étapes d'initialisation requises pour votre organisation, telles que la création des ressources requises et le nettoyage des ressources lors de la désactivation du service. AWS Account Management est le seul service qui nécessite l'utilisation du AWS Organizations Console ou APIs pour activer. Pour consulter la liste des services intégrés à AWS Organizations, voir Services AWS que vous pouvez utiliser avec AWS Organizations.
Utiliser les outils de facturation pour suivre les coûts et optimiser l'utilisation des ressources
Lorsque vous gérez une organisation, vous recevez une facture consolidée qui couvre tous les frais des comptes de votre organisation. Pour les utilisateurs professionnels qui ont besoin d'accéder à la visibilité des coûts, vous pouvez fournir un rôle dans le compte de gestion avec des autorisations restreintes en lecture seule pour examiner les outils de facturation et de coûts. Par exemple, vous pouvez créer un ensemble d'autorisations donnant accès aux rapports de facturation ou utiliser le AWS Cost Explorer Service (un outil permettant de visualiser les tendances des coûts au fil du temps) et des services rentables tels qu'Amazon S3 Storage Lens
Planifier la stratégie de balisage et l'application des balises dans l'ensemble des ressources de votre organisation
Au fur et à mesure que vos comptes et vos charges de travail évoluent, les balises peuvent s'avérer utiles pour le suivi des coûts, le contrôle d'accès et l'organisation des ressources. Pour les stratégies de dénomination liées au balisage, suivez les instructions de la section Marquage de votre AWS ressources. Outre les ressources, vous pouvez créer des balises sur la racine, les comptes et les politiques de l'organisation. OUs Pour plus d'informations, consultez Créer votre stratégie de balisage (français non garanti).
