Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques relatives au compte de gestion

Suivez ces recommandations pour vous aider à protéger la sécurité du compte de gestion dans AWS Organizations. Ces recommandations supposent que vous respectez également les bonnes pratiques qui consistent à avoir recours à l'utilisateur racine uniquement pour les tâches qui le nécessitent vraiment.

Limiter l'accès au compte de gestion

Le compte de gestion est essentiel à toutes les tâches administratives mentionnées, telles que la gestion des comptes, les politiques, l'intégration avec d'autres AWS services, la facturation consolidée, etc. Par conséquent, vous devez restreindre et limiter l'accès au compte de gestion aux seuls utilisateurs administrateurs qui ont besoin de droits pour apporter des modifications à l'organisation.

Vérifier et suivre les personnes ayant accès au compte de gestion

Pour vous assurer que vous conservez l'accès au compte de gestion, vérifiez régulièrement le personnel de votre entreprise qui a accès à l'adresse e-mail, au mot de passe et au numéro de téléphone qui y sont associés. MFA Alignez la vérification sur les procédures métier existantes. Ajoutez une vérification mensuelle ou trimestrielle de ces informations pour vous assurer que seules les bonnes personnes y ont accès. Assurez-vous que le processus de récupération ou de réinitialisation de l'accès aux informations d'identification de l'utilisateur racine ne dépend pas d'une personne spécifique. Tous les processus devraient tenir compte de l'éventualité que des personnes ne soient pas disponibles.

Utiliser le compte de gestion uniquement pour les tâches qui nécessitent le compte de gestion.

Nous vous recommandons d'utiliser le compte de gestion et ses utilisateurs et rôles pour les tâches qui ne peuvent être exécutées que par ce compte. Stockez toutes vos AWS ressources dans un autre Comptes AWS service de l'organisation et gardez-les hors du compte de gestion. L'une des principales raisons de conserver vos ressources dans d'autres comptes est que les politiques de contrôle des services des Organisations (SCPs) ne permettent pas de restreindre les utilisateurs ou les rôles dans le compte de gestion. La séparation de vos ressources de votre compte de gestion vous aide également à comprendre les frais qui vous sont facturés.

Éviter de déployer des charges de travail dans le compte de gestion de l'organisation

Les opérations privilégiées peuvent être effectuées dans le compte de gestion d'une organisation et SCPs ne s'appliquent pas au compte de gestion. C'est pourquoi vous devez limiter les ressources et données cloud contenues dans le compte de gestion à celles qui doivent être gérées dans le compte de gestion.

Déléguer des responsabilités en dehors du compte de gestion pour la décentralisation

Dans la mesure du possible, nous recommandons de déléguer des responsabilités et des services en dehors du compte de gestion. Accordez à vos équipes des autorisations dans leurs propres comptes pour gérer les besoins de l'organisation, sans qu'il soit nécessaire d'accéder au compte de gestion. En outre, vous pouvez enregistrer plusieurs administrateurs délégués pour les services qui prennent en charge cette fonctionnalité, par exemple AWS Service Catalog pour le partage de logiciels au sein de l'organisation ou AWS CloudFormation StackSets pour la création et le déploiement de piles.

Pour plus d'informations, consultez Architecture de référence de sécurité, Organisation de votre AWS environnement à l'aide de plusieurs comptes, et AWS services que vous pouvez utiliser avec AWS Organizations pour obtenir des suggestions sur l'enregistrement de comptes membres en tant qu'administrateurs délégués pour différents comptes AWS services. Pour plus d'informations sur la configuration des administrateurs délégués, consultez Activation d'un compte d'administrateur délégué pour AWS Account Management (français non garanti) et Administrateur délégué pour AWS Organizations.