A conta de gerenciamento, o acesso confiável e os administradores delegados

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa

A conta de gerenciamento (também chamada de conta de gerenciamento organizacional da AWS ou conta de gerenciamento de organização) é única e diferenciada de todas as outras contas no AWS Organizations. É a conta que cria a organização da AWS. Nessa conta, você pode criar contas da AWS na organização da AWS, convidar outras contas existentes para a organização da AWS (ambos os tipos são considerados contas membros), remover contas da organização da AWS e aplicar políticas do IAM à raiz, OUs ou contas dentro da organização da AWS.

A conta de gerenciamento implanta proteções de segurança universais por meio de SCPs e implantações de serviços (como a AWS CloudTrail) que afetarão todas as contas membros na organização da AWS. Para restringir ainda mais as permissões na conta de gerenciamento, essas permissões podem ser delegadas a outra conta apropriada, como uma conta de segurança, sempre que possível.

A conta de gerenciamento tem as responsabilidades de uma conta pagadora e é responsável pelo pagamento de todos as cobranças que são acumuladas pelas contas-membro. Você não pode trocar a conta de gerenciamento de uma organização da AWS. Uma conta da AWS só pode ser membro de uma organização da AWS por vez.

Devido à funcionalidade e ao escopo de influência que a conta de gerenciamento tem, recomendamos que você limite o acesso a essa conta e conceda permissões somente às funções que precisam delas. Dois recursos que ajudam você a fazer isso são acesso confiável e administrador delegado. Você pode usar o acesso confiável para habilitar um serviço da AWS que você especificar, chamado de serviço confiável, para realizar tarefas em sua organização da AWS e suas contas em seu nome. Isso envolve a concessão de permissões ao serviço confiável, mas não afeta de outra forma as permissões para entidades do IAM. Você pode usar o acesso confiável para especificar configurações e detalhes de configuração que você gostaria que o serviço confiável mantivesse nas contas da sua organização da AWS em seu nome. Por exemplo, a seção de contas de gerenciamento de organizações do AWS SRA explica como conceder ao CloudTrail serviço da AWS acesso confiável para criar uma trilha CloudTrail organizacional em todas as contas da sua organização da AWS.

Alguns serviços da AWS oferecem suporte ao recurso de administrador delegado no AWS Organizations. Com esse recurso, serviços compatíveis podem registrar uma conta membro da AWS na organização da AWS como administrador das contas da organização da AWS nesse serviço. Esse recurso fornece flexibilidade para diferentes equipes da sua empresa usarem contas separadas, conforme apropriado para suas responsabilidades, para gerenciar os serviços da AWS em todo o ambiente. Os serviços de segurança da AWS no AWS SRA que atualmente oferecem suporte a administradores delegados incluem o AWS IAM Identity Center (sucessor do AWS Single Sign-On), AWS Config, AWS Firewall GuardDuty Manager, Amazon, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector e o AWS Systems Manager. O uso do recurso de administrador delegado é enfatizado no AWS SRA como uma melhor prática, e delegamos a administração de serviços relacionados à segurança à conta do Security Tooling.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usando o AWS Organizations para segurança

Estrutura de contas dedicada