Praktik terbaik untuk akun anggota - AWS Organizations
Tentukan nama akun dan atributSkalakan lingkungan dan penggunaan akun Anda secara efisienGunakan SCP untuk membatasi apa yang dapat dilakukan pengguna root di akun anggota Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk akun anggota

Ikuti rekomendasi ini untuk membantu melindungi keamanan akun anggota di organisasi Anda. Rekomendasi ini berasumsi bahwa Anda juga mematuhi Praktik terbaik menggunakan pengguna root saja untuk tugas-tugas yang benar-benar mensyaratkannya.

Tentukan nama akun dan atribut

Untuk akun anggota Anda, gunakan struktur penamaan dan alamat email yang mencerminkan penggunaan akun. Misalnya, Workloads+fooA+dev@domain.com untukWorkloadsFooADev, Workloads+fooB+dev@domain.com untukWorkloadsFooBDev. Jika Anda memiliki tag khusus yang ditentukan untuk organisasi Anda, sebaiknya Anda menetapkan tag tersebut pada akun yang mencerminkan penggunaan akun, pusat biaya, lingkungan, dan proyek. Ini membuatnya lebih mudah untuk mengidentifikasi, mengatur, dan mencari akun.

Skalakan lingkungan dan penggunaan akun Anda secara efisien

Saat Anda menskalakan, sebelum membuat akun baru, pastikan akun untuk kebutuhan serupa belum ada, untuk menghindari duplikasi yang tidak perlu. Akun AWSharus didasarkan pada persyaratan akses umum. Jika Anda berencana untuk menggunakan kembali akun, seperti akun sandbox atau yang setara, kami sarankan Anda membersihkan sumber daya atau beban kerja yang tidak dibutuhkan dari akun, tetapi menyimpan akun untuk penggunaan di masa mendatang.

Sebelum menutup akun, perhatikan bahwa mereka tunduk pada batas kuota penutupan akun. Untuk informasi selengkapnya, lihat Kuota untuk AWS Organizations. Pertimbangkan untuk menerapkan proses pembersihan untuk menggunakan kembali akun alih-alih menutupnya dan membuat yang baru jika memungkinkan. Dengan cara ini, Anda akan menghindari biaya yang timbul dari menjalankan sumber daya, dan mencapai batas CloseAccount API.

Gunakan SCP untuk membatasi apa yang dapat dilakukan pengguna root di akun anggota Anda

Kami merekomendasikan bahwa Anda membuat kebijakan kontrol layanan (SCP) dalam organisasi dan melampirkannya ke root organisasi sehingga berlaku untuk semua akun anggota. Untuk informasi selengkapnya, lihat Mengamankan kredensi pengguna root akun Organizations Anda.

Anda dapat menolak semua tindakan root kecuali tindakan root saja tertentu yang harus Anda lakukan di akun anggota Anda. Misalnya, SCP berikut mencegah pengguna root di akun anggota mana pun melakukan panggilan API AWS layanan apa pun kecuali “Memperbarui kebijakan bucket S3 yang salah dikonfigurasi dan menolak akses ke semua prinsipal” (salah satu tindakan yang memerlukan kredensi root). Untuk informasi selengkapnya, lihat Tugas yang memerlukan kredensi pengguna root di Panduan Pengguna IAM.

{
 "Version": "2012-10-17",

    "Statement": [

        {

            "Effect": "Deny",

            "NotAction":[

            "s3:GetBucketPolicy",

            "s3:PutBucketPolicy",

            "s3:DeleteBucketPolicy"

                 ],

            "Resource": "*",

            "Condition": {
 "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }

            }

        }

    ]
 }

Dalam sebagian besar keadaan, setiap tugas administratif dapat dilakukan oleh AWS Identity and Access Management (IAM) role dalam akun anggota yang memiliki izin administrator yang relevan. Peran tersebut harus memiliki kendali sesuai yang diterapkan untuk membatasi, log, dan memantau aktivitas.