Manajemen dan pemisahan akun AWS

Sebaiknya atur beban kerja di akun dan akun grup terpisah berdasarkan fungsi, persyaratan kepatuhan, atau serangkaian kontrol umum, daripada menyamakannya dengan struktur pelaporan perusahaan Anda. Di AWS, akun adalah batas tegas. Misalnya, pemisahan di tingkat akun sangat disarankan untuk mengisolasi beban kerja produksi dari beban kerja pengembangan dan pengujian.

Kelola akun secara terpusat: AWS Organizations mengotomatiskan pembuatan dan pengelolaan AWS akun dan kontrol akun tersebut setelah dibuat. Ketika Anda membuat akun melalui AWS Organizations, pertimbangkan dengan cermat alamat email yang Anda gunakan, karena ini akan menjadi pengguna root yang dapat mengatur ulang kata sandi. Organisasi akan memungkinkan Anda untuk mengelompokkan akun ke dalam unit organisasi (OU), yang dapat mewakili lingkungan yang berbeda berdasarkan persyaratan dan tujuan beban kerja.

Atur kontrol secara terpusat: Kontrol apa saja yang dapat dilakukan akun AWS Anda dengan hanya memperbolehkan layanan, Wilayah, dan tindakan layanan tertentu di tingkat yang sesuai. AWS Organizations akan memungkinkan Anda menggunakan kebijakan kontrol layanan (SCP) untuk menerapkan pagar pembatas di tingkat organisasi, unit organisasi, atau akun, yang berlaku untuk semua pengguna dan peran AWS Identity and Access Management (IAM). Misalnya, Anda dapat menerapkan SCP yang membatasi pengguna agar tidak dapat meluncurkan sumber daya di Wilayah yang tidak Anda izinkan secara eksplisit. AWS Control Tower menawarkan cara sederhana untuk menyiapkan dan mengatur banyak akun. Ini akan mengotomatiskan pengaturan akun di Organisasi AWS Anda, mengotomatiskan penyediaan, menerapkan pagar pembatas (yang mencakup pencegahan dan deteksi), dan memberi Anda dasbor untuk visibilitas.

Konfigurasikan layanan dan sumber daya secara terpusat: AWS Organizations akan membantu Anda mengonfigurasi layanan-layanan AWS yang berlaku untuk semua akun Anda. Misalnya, Anda dapat mengonfigurasi pencatatan log terpusat untuk semua tindakan yang dilakukan di organisasi Anda menggunakan AWS CloudTrail, dan mencegah akun anggota dari menonaktifkan pencatatan log. Anda juga dapat mengumpulkan data secara terpusat untuk aturan-aturan yang telah Anda tetapkan dengan menggunakan AWS Config, sehingga Anda dapat mengaudit kepatuhan beban kerja Anda dan bereaksi cepat terhadap perubahan. AWS CloudFormation StackSets dapat memudahkan Anda dalam mengelola tumpukan AWS CloudFormation secara terpusat di berbagai akun dan OU yang ada dalam organisasi Anda. Dengan begitu, Anda dapat secara otomatis menyediakan akun baru yang memenuhi persyaratan keamanan Anda.

Gunakan fitur administrasi terdelegasikan dari layanan keamanan untuk memisahkan akun yang digunakan untuk manajemen dari akun tagihan (manajemen) organisasi. Beberapa layanan AWS, seperti GuardDuty, Security Hub, dan AWS Config, mendukung integrasi dengan AWS Organizations, termasuk menentukan akun spesifik untuk fungsi administratif.