Práticas recomendadas para contas-membro - AWS Organizations
Definir o nome e os atributos da contaEscalar com eficiência o ambiente e o uso da contaHabilite o gerenciamento de acesso raiz para simplificar o gerenciamento de credenciais de usuário raiz para contas de membros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para contas-membro

Siga estas recomendações para ajudar a proteger a segurança das contas membro em sua organização. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.

Definir o nome e os atributos da conta

Para suas contas-membro, use uma estrutura de nomes e um endereço de e-mail que reflita o uso da conta. Por exemplo, Workloads+fooA+dev@domain.com para WorkloadsFooADev, Workloads+fooB+dev@domain.com para WorkloadsFooBDev. Se houver tags personalizadas definidas para sua organização, recomendamos a você atribuir essas tags em contas que reflitam o uso da conta, o centro de custos, o ambiente e o projeto. Isso torna mais fácil identificar, organizar e pesquisar contas.

Escalar com eficiência o ambiente e o uso da conta

Ao escalar, antes de criar novas contas, certifique-se de que ainda não existam contas para necessidades semelhantes, para evitar duplicações desnecessárias. Contas da AWS devem basear-se em requisitos comuns de acesso. Se você planeja reutilizar as contas, como uma conta de sandbox ou equivalente, recomendamos  limpar quaisquer recursos ou workloads desnecessários das contas, mas salve as contas para uso futuro.

Antes de encerrar contas, observe que elas estão sujeitas aos limites de cota de fechamento de contas. Para obter mais informações, consulte Cotas e limites de serviço para AWS Organizations. Considere implementar um processo de limpeza para reutilizar contas em vez de encerrá-las e criar novas quando possível. Dessa forma, você evitará incorrer em custos com a execução de recursos e o alcance dos limites CloseAccount da API.

Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento de credenciais de usuário raiz para contas de membros

Recomendamos que você ative o gerenciamento de acesso raiz para ajudá-lo a monitorar e remover as credenciais do usuário raiz das contas dos membros. O gerenciamento do acesso raiz impede a recuperação das credenciais do usuário raiz, melhorando a segurança da conta em sua organização.

  • Remova as credenciais do usuário raiz das contas dos membros para impedir o login no usuário raiz. Isso também impede que as contas dos membros recuperem o usuário root.

  • Suponha uma sessão privilegiada para realizar as seguintes tarefas nas contas dos membros:

    • Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.

    • Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

    • Permita que uma conta de membro recupere suas credenciais de usuário raiz. A pessoa com acesso à caixa de entrada de e-mail do usuário raiz da conta do membro pode redefinir a senha do usuário raiz e fazer login como usuário raiz da conta do membro.

Depois que o gerenciamento do acesso raiz é ativado, as contas de membros recém-criadas não têm secure-by-default credenciais de usuário raiz, o que elimina a necessidade de segurança adicional, como MFA após o provisionamento.

Para obter mais informações, consulte Centralizar as credenciais do usuário raiz para contas de membros no Guia do AWS Identity and Access Management usuário.

Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer

Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. Para obter mais informações, consulte Proteja as credenciais de usuário raiz da conta Organizations.

Você pode negar todas as ações da raiz, exceto uma ação exclusiva à raiz que deve ser executada em sua conta-membro. Por exemplo, o SCP a seguir impede que o usuário raiz em qualquer conta membro faça qualquer chamada de API de AWS serviço, exceto “Atualizar uma política de bucket do S3 que foi configurada incorretamente e nega acesso a todos os principais” (uma das ações que exige credenciais raiz). Para obter mais informações, consulte Tarefas que exigem credenciais de usuário raiz no Guia do usuário do IAM.

{
 "Version": "2012-10-17",

    "Statement": [

        {

            "Effect": "Deny",

            "NotAction":[

            "s3:GetBucketPolicy",

            "s3:PutBucketPolicy",

            "s3:DeleteBucketPolicy"

                 ],

            "Resource": "*",

            "Condition": {
 "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }

            }

        }

    ]
 }

Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por um perfil do AWS Identity and Access Management (IAM) na conta-membro com as permissões de administrador relevantes. Esses perfis devem ter controles adequados aplicados para limitar, registrar e monitorar atividades.