Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le compte de gestion, l'accès sécurisé et les administrateurs délégués
| Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
Le compte de gestion (également appelé compte de gestion de l'AWSorganisation ou compte de gestion de l'organisation) est unique et différencié de tous les autres comptes dans AWS Organizations. C'est le compte qui crée l'AWSorganisation. À partir de ce compte, vous pouvez créer AWS des comptes dans l'AWSorganisation, inviter d'autres comptes existants à rejoindre l'AWSorganisation (les deux types sont considérés comme des comptes membres), supprimer des comptes de l'AWSorganisation et appliquer des IAM politiques à la racine ou à des comptes au sein de l'AWSorganisation. OUs
Le compte de gestion déploie des garde-fous de sécurité universels SCPs et des déploiements de services (tels que AWS CloudTrail) qui affecteront tous les comptes membres de l'organisation. AWS Pour restreindre davantage les autorisations dans le compte de gestion, ces autorisations peuvent être déléguées à un autre compte approprié, tel qu'un compte de sécurité, dans la mesure du possible.
Le compte de gestion possède les responsabilités d'un compte souscripteur et est responsable du paiement de tous les frais accumulés par les comptes membres. Vous ne pouvez pas changer de compte de gestion d'une AWS organisation. Un AWS compte ne peut être membre que d'une seule AWS organisation à la fois.
En raison des fonctionnalités et de l'étendue de l'influence du compte de gestion, nous vous recommandons de limiter l'accès à ce compte et d'accorder des autorisations uniquement aux rôles qui en ont besoin. Les deux fonctionnalités qui vous y aident sont l'accès sécurisé et l'administrateur délégué. Vous pouvez utiliser l'accès sécurisé pour permettre à un AWS service que vous spécifiez, appelé service sécurisé, d'effectuer des tâches au sein de votre AWS organisation et de ses comptes en votre nom. Cela implique d'accorder des autorisations au service de confiance, mais cela n'a aucune incidence sur les autorisations pour les IAM entités. Vous pouvez utiliser l'accès sécurisé pour spécifier les paramètres et les détails de configuration que vous souhaitez que le service sécurisé conserve en votre nom dans les comptes de votre AWS organisation. Par exemple, la section relative au compte de gestion de l'organisation AWS SRA explique comment accorder au AWS CloudTrail service un accès sécurisé afin de créer un suivi de CloudTrail l'organisation dans tous les comptes de votre AWS organisation.
Certains AWS services prennent en charge la fonctionnalité d'administrateur délégué dans AWS Organizations. Grâce à cette fonctionnalité, les services compatibles peuvent enregistrer un compte de AWS membre dans l'AWSorganisation en tant qu'administrateur des comptes de AWS l'organisation dans ce service. Cette fonctionnalité permet aux différentes équipes de votre entreprise d'utiliser des comptes distincts, en fonction de leurs responsabilités, pour gérer les AWS services dans l'ensemble de l'environnement. Les services AWS de sécurité actuellement pris en charge par l'AWSSRAadministrateur délégué incluent AWS IAM Identity Center (successeur de Single Sign-On), AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, Security AWS Hub, Amazon Detective, Audit AWS Manager, Amazon Inspector et Systems AWS Manager. AWS L'utilisation de la fonctionnalité d'administrateur délégué est soulignée dans la AWS SRA meilleure pratique, et nous déléguons l'administration des services liés à la sécurité au compte Security Tooling.
