Práticas recomendadas para contas-membro - AWS Organizations

Práticas recomendadas para contas-membro

Siga estas recomendações para ajudar a proteger a segurança das contas membro em sua organização. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.

Definir o nome e os atributos da conta

Para suas contas-membro, use uma estrutura de nomes e um endereço de e-mail que reflita o uso da conta. Por exemplo, Workloads+fooA+dev@domain.com para WorkloadsFooADev, Workloads+fooB+dev@domain.com para WorkloadsFooBDev. Se houver tags personalizadas definidas para sua organização, recomendamos a você atribuir essas tags em contas que reflitam o uso da conta, o centro de custos, o ambiente e o projeto. Isso torna mais fácil identificar, organizar e pesquisar contas.

Escalar com eficiência o ambiente e o uso da conta

Ao escalar, antes de criar novas contas, certifique-se de que ainda não existam contas para necessidades semelhantes para evitar duplicações desnecessárias. As Contas da AWS devem se basear em requisitos de acesso comuns. Se você planeja reutilizar as contas, como uma conta de sandbox ou equivalente, recomendamos  limpar quaisquer recursos ou workloads desnecessários das contas, mas salve as contas para uso futuro.

Antes de encerrar contas, observe que elas estão sujeitas aos limites de cota de fechamento de contas. Para ter mais informações, consulte Cotas e limites de serviço para AWS Organizations. Considere implementar um processo de limpeza para reutilizar contas em vez de encerrá-las e criar novas quando possível. Dessa forma, você evitará incorrer em custos com a execução de recursos e atingir os limites da API CloseAccount.

Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer

Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. Para obter mais informações, consulte Proteja as credenciais de usuário raiz da conta Organizations.

Você pode negar todas as ações da raiz, exceto uma ação exclusiva à raiz que deve ser executada em sua conta-membro. Por exemplo, a SCP a seguir impede que o usuário raiz em qualquer conta-membro faça qualquer chamada de API de serviço da AWS, exceto “Atualizar uma política de bucket do S3 que foi configurada incorretamente e nega acesso a todas as entidades principais” (uma das ações que exigem credenciais de raiz). Para obter mais informações, consulte Tarefas que exigem credenciais de usuário raiz no Guia do usuário do IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotAction":[ "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por um perfil do AWS Identity and Access Management (IAM) na conta-membro com as permissões de administrador relevantes. Esses perfis devem ter controles adequados aplicados para limitar, registrar e monitorar atividades.