Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akun manajemen, akses tepercaya, dan administrator yang didelegasikan
| Mempengaruhi masa depan Arsitektur Referensi AWS Keamanan (AWS SRA) dengan mengambil survei singkat |
Akun manajemen (juga disebut akun Manajemen AWS Organisasi atau akun Manajemen Org) unik dan dibedakan dari setiap akun lain di AWS Organizations. Ini adalah akun yang menciptakan AWS organisasi. Dari akun ini, Anda dapat membuat AWS akun di AWS organisasi, mengundang akun lain yang ada ke AWS organisasi (kedua jenis dianggap sebagai akun anggota), menghapus akun dari AWS organisasi, dan menerapkan IAM kebijakan ke rootOUs,, atau akun dalam AWS organisasi.
Akun manajemen menyebarkan pagar keamanan universal melalui SCPs dan penyebaran layanan (seperti AWS CloudTrail) yang akan memengaruhi semua akun anggota dalam organisasi. AWS Untuk lebih membatasi izin di akun manajemen, izin tersebut dapat didelegasikan ke akun lain yang sesuai, seperti akun keamanan, jika memungkinkan.
Akun manajemen memiliki tanggung jawab Akun Pembayar dan bertanggung jawab untuk membayar semua biaya yang diperoleh oleh akun anggota. Anda tidak dapat mengganti akun manajemen AWS organisasi. AWSAkun dapat menjadi anggota hanya satu AWS organisasi pada satu waktu.
Karena fungsionalitas dan ruang lingkup pengaruh yang dimiliki akun manajemen, kami menyarankan Anda membatasi akses ke akun ini dan memberikan izin hanya untuk peran yang membutuhkannya. Dua fitur yang membantu Anda melakukan ini adalah akses tepercaya dan administrator yang didelegasikan. Anda dapat menggunakan akses tepercaya untuk mengaktifkan AWS layanan yang Anda tentukan, yang disebut layanan tepercaya, untuk melakukan tugas di AWS organisasi Anda dan akunnya atas nama Anda. Ini melibatkan pemberian izin ke layanan tepercaya tetapi tidak memengaruhi izin untuk entitas. IAM Anda dapat menggunakan akses tepercaya untuk menentukan pengaturan dan detail konfigurasi yang ingin dipertahankan oleh layanan tepercaya di akun AWS organisasi atas nama Anda. Misalnya, bagian akun Manajemen Org AWS SRA menjelaskan cara memberikan AWS CloudTrail layanan akses tepercaya untuk membuat jejak CloudTrail organisasi di semua akun di AWS organisasi Anda.
Beberapa AWS layanan mendukung fitur administrator yang didelegasikan di AWS Organizations. Dengan fitur ini, layanan yang kompatibel dapat mendaftarkan akun AWS anggota di AWS organisasi sebagai administrator untuk akun AWS organisasi dalam layanan tersebut. Kemampuan ini memberikan fleksibilitas bagi tim yang berbeda dalam perusahaan Anda untuk menggunakan akun terpisah, yang sesuai dengan tanggung jawab mereka, untuk mengelola AWS layanan di seluruh lingkungan. Layanan AWS keamanan di administrator AWS SRA yang saat ini mendukung delegasi termasuk AWS IAM Identity Center (penerus AWS Single Sign-On), Config, AWS Firewall Manager, AmazonAWS, Access AWS IAM Analyzer, GuardDuty Amazon Macie, Security AWS Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector, dan Systems Manager. AWS Penggunaan fitur administrator yang didelegasikan ditekankan AWS SRA sebagai praktik terbaik, dan kami mendelegasikan administrasi layanan terkait keamanan ke akun Security Tooling.
