翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理アカウントのベストプラクティス

の管理アカウントのセキュリティを保護するために、以下の推奨事項に従ってください。 AWS Organizations。 これらの推奨事項では、 を本当に必要とするタスクにのみルートユーザーを使用するというベストプラクティスに従うものとします。

管理アカウントにアクセスできるユーザーを制限する

管理アカウントは、アカウント管理、ポリシー、他の との統合など、前述のすべての管理タスクにとって重要です。 AWS サービス、一括請求など。そのため、管理アカウントへのアクセスは、組織に変更を加える権限を必要とする管理者ユーザーのみに制限する必要があります。

誰がアクセスできるかを確認、追跡する

管理アカウントへのアクセスを維持するには、管理アカウントに関連付けられている E メールアドレス、パスワード、、MFA電話番号にアクセスできる社内の担当者を定期的に確認してください。確認は既存のビジネス上の手続きに則って行うことができます。担当者だけに適切なアクセスを限定できるよう、月ごとや四半期ごとにこの情報を確認してください。ルートユーザーの認証情報へのアクセスを回復またはリセットするプロセスが、特定の個人に依存しないようにしてください。すべてのプロセスは、誰かが不在だったとしても問題なく進められるよう設計します。

管理アカウントは、管理アカウントが必要なタスクにのみ使用してください

管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。すべての を保存する AWS 他の の リソース AWS アカウント 管理アカウントから隔離します。リソースを他のアカウントに保持する重要な理由の 1 つは、Organizations のサービスコントロールポリシー (SCPs) が管理アカウントのユーザーまたはロールを制限するように機能しないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。

管理アカウントから呼び出す必要があるタスクのリストについては、「組織の管理アカウント からのみ呼び出すことができるオペレーション」を参照してください。

組織の管理アカウントにワークロードをデプロイすることを避ける

特権オペレーションは組織の管理アカウント内で実行でき、管理アカウントSCPsには適用されません。そのため、管理アカウントに含まれるクラウドリソースとデータは、管理アカウントで管理する必要があるものだけに制限する必要があります。

分散化のために管理アカウント外に責任を委任する

可能ならば、責任とサービスを管理アカウント外に委任することをおすすめします。チームにチーム自身の権限を提供することで、管理アカウントにアクセスすることなく、各自のアカウントから組織のニーズを管理できます。さらに、 などのこの機能をサポートするサービスに複数の委任管理者を登録できます。 AWS Service Catalog 組織全体でソフトウェアを共有するための 、または AWS CloudFormation StackSets スタックの作成とデプロイ用。

詳細については、「セキュリティリファレンスアーキテクチャ」、「 の整理」を参照してください。 AWS 複数のアカウントを使用する環境、およびさまざまな の委任管理者としてメンバーアカウントを登録するAWS のサービス で使用できる AWS Organizations方法の提案 AWS サービス。

委任された管理者の設定の詳細については、「 の委任された管理者アカウントの有効化」を参照してください。 AWS Account Management および の委任管理者 AWS Organizations。