As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para a conta de gerenciamento

Siga estas recomendações para ajudar a proteger a segurança da conta de gerenciamento no AWS Organizations. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.

Limitar quem tem acesso à conta de gerenciamento

A conta de gerenciamento é fundamental para todas as tarefas administrativas mencionadas, como gerenciamento de contas, políticas, integração com outras Serviços da AWS, faturamento consolidado e assim por diante. Portanto, você deve restringir e limitar o acesso à conta de gerenciamento somente para os usuários administradores que precisam de direitos para fazer alterações na organização.

Revisar e controlar quem tem acesso

Para garantir que você mantenha o acesso à conta de gerenciamento, revise periodicamente a equipe da sua empresa que tem acesso ao endereço de e-mailMFA, senha e número de telefone associados a ela. Alinhe sua revisão com os procedimentos existentes da empresa. Adicione uma revisão mensal ou trimestral dessas informações para verificar se apenas as pessoas corretas têm acesso. Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.

Use a conta de gerenciamento somente para tarefas que exijam a conta de gerenciamento

Recomendamos usar a conta de gerenciamento e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Armazene todos os seus AWS recursos Contas da AWS em outras partes da organização e mantenha-os fora da conta de gerenciamento. Um motivo importante para manter seus recursos em outras contas é porque as políticas de controle de serviços (SCPs) da Organizations não funcionam para restringir nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da conta de gerenciamento também ajuda a entender os lançamentos em suas faturas.

Evite implantar workloads na conta de gerenciamento da organização

As operações privilegiadas podem ser realizadas na conta de gerenciamento de uma organização e SCPs não se aplicam à conta de gerenciamento. É por isso que você deve limitar os recursos e dados da nuvem contidos na conta de gerenciamento somente àqueles que devem ser gerenciados nessa conta.

Delegar responsabilidades fora da conta de gerenciamento para descentralização

Sempre que possível, recomendamos delegar responsabilidades e serviços fora da conta de gerenciamento. Forneça às suas equipes permissões em suas próprias contas para gerenciar as necessidades da organização para que não seja necessário acessar a conta de gerenciamento. Além disso, você pode registrar vários administradores delegados para serviços que oferecem suporte a essa funcionalidade, como compartilhamento AWS Service Catalog de software em toda a organização ou criação e implantação AWS CloudFormation StackSets de pilhas.

Para obter mais informações, consulte Arquitetura de referência de segurança, Organizando seu AWS ambiente usando várias contas e Serviços da AWS que você pode usar com AWS Organizations sugestões sobre como registrar contas de membros como administrador delegado para várias. Serviços da AWS Para obter mais informações sobre como configurar administradores delegados, consulte Habilitar uma conta de administrador delegado para o  AWS Account Management e Administrador delegado para AWS Organizations.