Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk akun manajemen

Ikuti rekomendasi ini untuk membantu melindungi keamanan akun manajemen di AWS Organizations. Rekomendasi ini berasumsi bahwa Anda juga mematuhi Praktik terbaik menggunakan pengguna root saja untuk tugas-tugas yang benar-benar mensyaratkannya.

Membatasi siapa yang memiliki akses ke akun manajemen

Akun manajemen adalah kunci untuk semua tugas administratif yang disebutkan seperti manajemen akun, kebijakan, integrasi dengan AWS layanan lain, penagihan konsolidasi, dan sebagainya. Oleh karena itu, Anda harus membatasi dan membatasi akses ke akun manajemen hanya untuk pengguna admin yang membutuhkan hak untuk membuat perubahan pada organisasi.

Tinjau dan lacak siapa yang memiliki akses

Untuk memastikan bahwa Anda mempertahankan akses ke akun manajemen, tinjau secara berkala personel dalam bisnis Anda yang memiliki akses ke alamat email, kata sandi, MFA, dan nomor telepon yang terkait dengannya. Selaraskan tinjauan Anda dengan prosedur bisnis yang ada. Tambahkan ulasan bulanan atau triwulanan informasi ini untuk memverifikasi bahwa hanya orang yang benar yang memiliki akses. Pastikan bahwa proses untuk memulihkan atau me-reset akses ke kredensial pengguna root tidak bergantung pada setiap individu tertentu untuk menyelesaikannya. Semua proses harus membahas tentang kemungkinan orang tidak tersedia.

Gunakan akun manajemen hanya untuk tugas-tugas yang memerlukan akun manajemen

Kami merekomendasikan bahwa Anda menggunakan akun manajemen dan pengguna dan perannya untuk tugas-tugas yang harus dilakukan hanya oleh akun tersebut. Simpan semua perangkat AWS Sumber daya dalam Lainnya Akun AWS dalam organisasi dan menjaga mereka keluar dari akun manajemen. Salah satu alasan penting untuk menjaga sumber daya Anda di akun lain adalah karena layanan kontrol kebijakan (SCP) Organizations tidak bekerja untuk membatasi setiap pengguna atau peran dalam akun manajemen. Memisahkan sumber daya Anda dari akun manajemen Anda juga membantu Anda memahami tagihan pada faktur Anda.

Hindari penerapan beban kerja ke akun manajemen organisasi

Operasi istimewa dapat dilakukan dalam akun manajemen organisasi, dan SCP tidak berlaku untuk akun manajemen. Itu sebabnya Anda harus membatasi sumber daya cloud dan data yang terkandung dalam akun manajemen hanya untuk yang harus dikelola di akun manajemen.

Mendelegasikan tanggung jawab di luar akun manajemen untuk desentralisasi

Jika memungkinkan, kami merekomendasikan untuk mendelegasikan tanggung jawab dan layanan di luar akun manajemen. Berikan izin kepada tim Anda di akun mereka sendiri untuk mengelola kebutuhan organisasi, tanpa memerlukan akses ke akun manajemen. Selain itu, Anda dapat mendaftarkan beberapa administrator yang didelegasikan untuk layanan yang mendukung fungsi ini seperti AWS Service Catalog untuk berbagi perangkat lunak di seluruh organisasi, atau AWS CloudFormation StackSets untuk membuat dan menerapkan tumpukan.

Untuk informasi selengkapnya, lihat Arsitektur Referensi Keamanan, Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun, dan AWS Layanan yang dapat Anda gunakan dengan AWS Organizations untuk saran tentang mendaftarkan akun anggota sebagai administrator yang didelegasikan untuk berbagai AWS layanan. Untuk informasi selengkapnya tentang menyiapkan admin yang didelegasikan, lihat Mengaktifkan akun admin yang didelegasikan untuk dan. AWS Account Management Administrator yang didelegasikan untuk AWS Organizations