Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas para cuentas de miembros
Siga estas recomendaciones para proteger la seguridad de las cuentas de los miembros de su organización. Estas recomendaciones suponen que también se adhiere a las Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran.
Temas
Definir el nombre y los atributos de la cuenta
En el caso de las cuentas de los miembros, utilice una estructura de nombres y una dirección de correo electrónico que reflejen el uso de la cuenta. Por ejemplo, Workloads+fooA+dev@domain.com para WorkloadsFooADev, Workloads+fooB+dev@domain.com para WorkloadsFooBDev. Si ha definido etiquetas personalizadas para su organización, se recomienda que asigne esas etiquetas a las cuentas que reflejen el uso de la cuenta, el centro de costos, el entorno y el proyecto. Esto facilita la identificación, organización y búsqueda de las cuentas.
Ampliar el entorno y el uso de la cuenta de manera eficiente
A medida que vaya escalando, antes de crear cuentas nuevas, asegúrese de que ya no existan cuentas para necesidades similares a fin de evitar duplicaciones innecesarias. Las Cuentas de AWS deben basarse en requisitos de acceso comunes. Si tiene previsto volver a utilizar las cuentas, como una cuenta de entorno aislado o una cuenta equivalente, se recomienda que elimine las cargas de trabajo o los recursos innecesarios de las cuentas, pero que guarde las cuentas para utilizarlas en el futuro.
Antes de cerrar cuentas, tenga en cuenta que están sujetas a los límites de cuota de cierre de cuentas. Para obtener más información, consulte Cuotas para AWS Organizations. Considere la posibilidad de implementar un proceso de limpieza para reutilizar las cuentas en lugar de cerrarlas y crear otras nuevas cuando sea posible. De esta forma, evitará incurrir en costos derivados de la ejecución de los recursos y alcanzar los límites de la API CloseAccount.
Utilice una SCP para restringir lo que puede hacer el usuario raíz en tus cuentas de miembro
Se recomienda crear una política de control de servicios (SCP) en la organización y adjuntarla al nodo raíz de la organización para que se aplique a todas las cuentas miembros. Para obtener más información, consulte Proteja las credenciales de usuario raíz de su cuenta de Organizations.
Puede denegar todas las acciones raíz, excepto una acción específica exclusiva para usuarios raíz que debe realizar en su cuenta de miembro. Por ejemplo, la siguiente SCP de ejemplo impide que el usuario raíz de cualquier cuenta de miembro realice llamadas a la API de servicio de AWS, excepto “Actualizar una política de bucket de S3 que estaba mal configurada y deniega el acceso a todas las entidades principales” (una de las acciones que requieren credenciales de usuario raíz). Para obtener más información, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotAction":[ "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:DeleteBucketPolicy" ], "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }
En la mayoría de las circunstancias, un rol de AWS Identity and Access Management (IAM) puede realizar cualquier tarea administrativa en la cuenta de miembro que tiene permisos de administrador pertinentes. Cualquiera de estos roles debe tener controles adecuados implementados que limiten, registren y supervisen la actividad.
