Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice per l'account di gestione
Segui questi consigli per proteggere la sicurezza dell'account di gestione in AWS Organizations. Questi consigli presuppongono inoltre che si segua la migliore pratica di utilizzare l'utente root solo per le attività che lo richiedono realmente.
Argomenti
- Limitazione di chi ha accesso all'account di gestione
- Verifica e monitoraggio di chi ha accesso
- Utilizzare l'account di gestione solo per le attività che richiedono l'account di gestione
- Evitare di distribuire carichi di lavoro sull'account di gestione dell'organizzazione
- Delegazione delle responsabilità esterne all'account di gestione per la decentralizzazione
Limitazione di chi ha accesso all'account di gestione
L'account di gestione è fondamentale per tutte le attività amministrative menzionate come la gestione degli account, le politiche, l'integrazione con altre AWS servizi, fatturazione consolidata e così via. Pertanto, dovresti limitare l'accesso all'account di gestione solo agli utenti amministratori che necessitano dei diritti per apportare modifiche all'organizzazione.
Verifica e monitoraggio di chi ha accesso
Per assicurarvi di mantenere l'accesso all'account di gestione, controllate periodicamente il personale della vostra azienda che ha accesso all'indirizzo e-mail, alla password e al numero di telefono ad essi associati. MFA Allinea la revisione alle procedure aziendali esistenti. Aggiungi la verifica mensile o trimestrale di queste informazioni per garantire che solo le persone giuste dispongano dell'accesso. Assicurati che il completamento del processo di ripristino o reimpostazione dell'accesso alle credenziali utente root non dipenda da un individuo specifico. Tutti i processi dovrebbero tenere in considerazione la possibilità che le persone non siano disponibili.
Utilizzare l'account di gestione solo per le attività che richiedono l'account di gestione
Consigliamo di utilizzare l'account di gestione e i relativi utenti e ruoli per le attività che devono essere eseguite solo da tale account. Memorizza tutti i tuoi AWS risorse in altro Account AWS all'interno dell'organizzazione e tienile lontane dall'account di gestione. Un motivo importante per conservare le risorse in altri account è che le politiche di controllo del servizio Organizations (SCPs) non funzionano per limitare gli utenti o i ruoli nell'account di gestione. Inoltre, la separazione delle risorse dall'account di gestione consente di comprendere gli addebiti sulle fatture.
Per un elenco delle attività che devono essere richiamate dall'account di gestione, vedi Operazioni che è possibile chiamare solo dall'account di gestione dell'organizzazione.
Evitare di distribuire carichi di lavoro sull'account di gestione dell'organizzazione
Le operazioni privilegiate possono essere eseguite all'interno dell'account di gestione di un'organizzazione e SCPs non si applicano all'account di gestione. Ecco perché dovresti limitare le risorse e i dati cloud contenuti nell'account di gestione solo a quelli che devono essere gestiti in tale account.
Delegazione delle responsabilità esterne all'account di gestione per la decentralizzazione
Ove possibile, consigliamo di delegare responsabilità e servizi al di fuori dell'account di gestione. Fornisci ai tuoi team le autorizzazioni nei propri account per gestire le esigenze dell'organizzazione, senza richiedere l'accesso all'account di gestione. Inoltre, è possibile registrare più amministratori delegati per i servizi che supportano questa funzionalità, ad esempio AWS Service Catalog per condividere software all'interno dell'organizzazione, oppure AWS CloudFormation StackSets per la creazione e la distribuzione di stack.
Per ulteriori informazioni, consulta Security Reference Architecture, Organizing Your AWS Ambiente che utilizza più account e Servizi AWS che puoi usare con AWS Organizations per suggerimenti sulla registrazione degli account dei membri come amministratore delegato per vari AWS servizi.
Per ulteriori informazioni sulla configurazione degli amministratori delegati, vedere Abilitazione di un account amministratore delegato per AWS Account Management e Amministratore delegato per AWS Organizations.