Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas para un entorno de múltiples cuentas
Siga estas recomendaciones para ayudarle a configurar y administrar un entorno de varias cuentas en AWS Organizations.
Temas
Cuenta y credenciales
Utilizar una contraseña segura para el usuario raíz
Se recomienda utilizar una contraseña segura y única. Existen varios administradores de contraseñas y algoritmos y herramientas de generación de contraseñas seguras que pueden ayudar a lograr estos objetivos. Para obtener más información, consulte Cambiar la contraseña del Usuario raíz de la cuenta de AWS. Utilice la política de seguridad de la información de su empresa para gestionar el almacenamiento a largo plazo y el acceso a la contraseña del usuario raíz. Se recomienda almacenar la contraseña en un sistema de administración de contraseñas o equivalente que cumpla con los requisitos de seguridad de su organización. Para evitar crear una dependencia circular, no almacene la contraseña del usuario raíz con herramientas que dependan de AWS servicios en los que inicia sesión con la cuenta protegida. Sea cual sea el método que elija, se recomienda que priorice la resiliencia y que considere la posibilidad de solicitar a varios actores que autoricen el acceso a este almacén para mejorar la protección. Se debe registrar y supervisar cualquier acceso a la contraseña o a su ubicación de almacenamiento. Para obtener recomendaciones adicionales sobre las contraseñas de los usuarios root, consulte las prácticas recomendadas para los usuarios root para su Cuenta de AWS.
Documentar los procesos para el uso de las credenciales de usuario raíz
Documente la ejecución de procesos importantes a medida que se llevan a cabo para asegurarse de que tiene un registro de las personas involucradas en cada paso. Para administrar la contraseña, se recomienda utilizar un administrador de contraseñas cifradas que sea seguro. También es importante proporcionar documentación sobre las excepciones y eventos imprevistos que se puedan presentar. Para obtener más información, consulte Solución de problemas AWS Management Console inicie sesión en AWS La guía del usuario para iniciar sesión y las tareas que requieren credenciales de usuario root en la Guía del IAMusuario.
Compruebe y valide que sigue teniendo acceso al usuario raíz y que el número de teléfono de contacto funcione al menos trimestralmente. Esto ayuda a asegurar al negocio que el proceso funciona y que usted mantiene el acceso al usuario raíz. También demuestra que las personas responsables del acceso raíz comprenden los pasos que deben seguir para que el proceso se complete correctamente. Para aumentar el tiempo de respuesta y el éxito, es importante asegurarse de que todo el personal que participa en un proceso comprenda exactamente lo que debe hacer en caso de que sea necesario acceder.
MFAActívalas para tus credenciales de usuario raíz
Le recomendamos que habilite varios dispositivos de autenticación multifactorial (MFA) en Cuenta de AWS usuario raíz y IAM usuarios en su Cuentas de AWS. Esto te permite subir el listón de seguridad en tu Cuentas de AWS y simplifique la administración del acceso a los usuarios con altos privilegios, como Cuenta de AWS usuario root. Para satisfacer las diferentes necesidades de los clientes, AWS admite tres tipos de MFA dispositivosIAM, incluidas las claves de FIDO seguridad, las aplicaciones de autenticación virtual y los tokens de hardware de contraseñas de un solo uso basados en el tiempo. TOTP
Cada tipo de autenticador tiene propiedades físicas y de seguridad ligeramente diferentes que son las más adecuadas para diferentes casos de uso. FIDO2las claves de seguridad ofrecen el más alto nivel de seguridad y son resistentes a la suplantación de identidad. Cualquier forma de autenticación MFA ofrece una postura de seguridad más sólida que la autenticación solo con contraseña, y te recomendamos encarecidamente que añadas alguna forma de autenticación MFA a tu cuenta. Seleccione el tipo de dispositivo que mejor se adapte a sus requisitos operativos y de seguridad.
Si eliges un dispositivo alimentado por batería como tu autenticador principal, como un token de TOTP hardware, considera también la posibilidad de registrar un autenticador que no dependa de la batería como mecanismo de respaldo. También es esencial comprobar periódicamente la funcionalidad del dispositivo y reemplazarlo antes de la fecha de caducidad para mantener un acceso ininterrumpido. Independientemente del tipo de dispositivo que elija, le recomendamos que registre al menos dos dispositivos (IAMadmite hasta ocho MFA dispositivos por usuario) para aumentar su resistencia ante la pérdida o el fallo del dispositivo.
Siga la política de seguridad de la información de su organización para el almacenamiento del MFA dispositivo. Le recomendamos que guarde el MFA dispositivo por separado de la contraseña asociada. Esto garantiza que el acceso a la contraseña y al MFA dispositivo requiera diferentes recursos (personas, datos y herramientas). Esta separación agrega una capa adicional de protección contra el acceso no autorizado. También le recomendamos que registre y supervise cualquier acceso al MFA dispositivo o a su ubicación de almacenamiento. Esto ayuda a detectar accesos no autorizados y responder ante ellos.
Para obtener más información, consulte Proteja el inicio de sesión del usuario root con la autenticación multifactor (MFA) en la Guía del IAMusuario. Para obtener instrucciones sobre cómo activarlaMFA, consulte Uso de la autenticación multifactorial () en MFA AWSy Habilitar MFA dispositivos para los usuarios en AWS.
Aplicar controles para monitorear el acceso a las credenciales del usuario raíz
El acceso a las credenciales de usuario raíz debe ser un evento raro. Cree alertas con herramientas como Amazon EventBridge para anunciar el inicio de sesión y el uso de las credenciales de usuario raíz de la cuenta de administración. Esta alerta debe incluir, entre otras cosas, la dirección de correo electrónico utilizada para el propio usuario raíz. Esta alerta debe ser significativa y difícil de pasar por alto. Para ver un ejemplo, consulte Supervisar y notificar en Cuenta de AWS actividad del usuario root
Mantener actualizado el número de teléfono de contacto
Para recuperar el acceso a su Cuenta de AWS, es fundamental tener un número de teléfono de contacto válido y activo que le permita recibir mensajes de texto o llamadas. Te recomendamos que utilices un número de teléfono específico para asegurarte de que AWS podemos ponernos en contacto contigo con fines de soporte y recuperación de la cuenta. Puede ver y administrar fácilmente los números de teléfono de su cuenta a través del AWS Management Console o Administración de cuentasAPIs.
Hay varias formas de obtener un número de teléfono dedicado que garantice AWS puede ponerse en contacto con usted. Le recomendamos encarecidamente que obtenga una SIM tarjeta dedicada y un teléfono físico. Guarda el teléfono de forma segura y SIM a largo plazo para garantizar que el número de teléfono siga disponible para la recuperación de la cuenta. Asegúrese también de que el equipo responsable de la factura del móvil comprenda la importancia de este número, incluso si permanece inactivo durante periodos prolongados. Es esencial mantener la confidencialidad de este número de teléfono dentro de su organización para garantizar protección adicional.
Documenta el número de teléfono en el AWS Página de la consola de información de contacto y comparte sus detalles con los equipos específicos de tu organización que deben conocerla. Este enfoque ayuda a minimizar el riesgo asociado a la transferencia del número de teléfono a otroSIM. Almacene el teléfono de acuerdo con su política de seguridad de la información existente. Sin embargo, no almacene el teléfono en la misma ubicación que la otra información de credenciales relacionada. Se debe registrar y supervisar cualquier acceso al teléfono o a su ubicación de almacenamiento. Si el número de teléfono asociado a una cuenta cambia, implemente procesos para actualizar dicho número en la documentación existente.
Utilizar una dirección de correo electrónico de grupo para todas las cuentas raíz
Utilice una dirección de correo electrónico administrada por su empresa. Utilice una dirección de correo electrónico que reenvíe los mensajes recibidos directamente a un grupo de usuarios. En el caso de que AWS debe ponerse en contacto con el propietario de la cuenta, por ejemplo, para confirmar el acceso, el mensaje de correo electrónico se distribuye a varias partes. Este enfoque ayuda a reducir el riesgo de retrasos en la respuesta, incluso si las personas están de vacaciones, se enferman o abandonan el negocio.
Estructura organizativa y cargas de trabajo
Administrar cuentas dentro de una sola organización
Se recomienda crear una sola organización y administrar todas las cuentas que se encuentran en ella. Una organización es una barrera de seguridad que le permite mantener la coherencia entre las cuentas de su entorno. Puede aplicar políticas o configuraciones de nivel de servicio de forma centralizada en todas las cuentas de una organización. Si desea habilitar políticas coherentes, visibilidad central y controles programáticos en su entorno de varias cuentas, lo mejor es hacerlo dentro de una sola organización.
Agrupar cargas de trabajo en función del propósito empresarial y no de la estructura de informes
Le recomendamos que aísle los entornos y los datos de las cargas de trabajo de producción en función de su nivel superior orientado a las cargas de trabajo. OUs OUsDebe basarse en un conjunto común de controles en lugar de reflejar la estructura de informes de su empresa. Además de los de producciónOUs, le recomendamos que defina uno o varios entornos no productivos OUs que contengan cuentas y entornos de carga de trabajo que se utilicen para desarrollar y probar las cargas de trabajo. Para obtener más información, consulte Organización orientada a las cargas de trabajo. OUs
Utilizar varias cuentas para organizar cargas de trabajo
Un registro Cuenta de AWS proporciona límites naturales de seguridad, acceso y facturación para su AWS recursos. El uso de varias cuentas tiene ventajas, ya que te permite distribuir las cuotas a nivel de cuenta y los límites de las API tasas de solicitud, además de las ventajas adicionales que se detallan aquí. Se recomienda utilizar varias cuentas básicas de toda la organización, como cuentas de seguridad, registro e infraestructura. En el caso de las cuentas de carga de trabajo, debe separar las cargas de trabajo de producción de las cargas de trabajo de comprobación o desarrollo en cuentas independientes.
Administración de servicios y costos
Habilitado AWS servicios a nivel organizativo mediante la consola de servicios o API las CLI operaciones
Como práctica recomendada, te recomendamos activar o desactivar todos los servicios con los que quieras integrarte AWS Organizations utilizando la consola de ese servicio o sus equivalentes de API operaciones/comandosCLI. Con este método, el AWS el servicio puede realizar todos los pasos de inicialización necesarios para su organización, como crear los recursos necesarios y limpiarlos al deshabilitar el servicio. AWS Account Management es el único servicio que requiere el uso del AWS Organizations Consola o APIs para habilitar. Para revisar la lista de servicios que están integrados con AWS Organizations, consulte Servicios de AWS que puedes usar con AWS Organizations.
Utilizar las herramientas de facturación para realizar un seguimiento de los costos y optimizar el uso de los recursos
Al administrar una organización, recibe una factura consolidada que cubre todos los cargos de las cuentas de su organización. Para los usuarios empresariales que necesiten acceder a la visibilidad de los costes, puede proporcionar una función en la cuenta de administración con permisos restringidos de solo lectura para revisar las herramientas de facturación y costos. Por ejemplo, puede crear un conjunto de permisos que dé acceso a los informes de facturación o utilizar el AWS Cost Explorer Service (una herramienta para ver las tendencias de los costes a lo largo del tiempo) y servicios rentables como Amazon S3 Storage Lens
Planificar la estrategia de etiquetado y la aplicación de las etiquetas en todos los recursos de la organización
A medida que las cuentas y cargas de trabajo aumentan, las etiquetas pueden ser una característica útil para el seguimiento de costos, el control de acceso y la organización de los recursos. Para etiquetar las estrategias de nomenclatura, sigue las instrucciones de Etiquetar tu AWS recursos. Además de los recursos, puede crear etiquetas en la raízOUs, las cuentas y las políticas de la organización. Consulte la sección Building your tagging strategy para obtener más información.
