L'account di gestione, l'accesso affidabile e gli amministratori delegati - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

L'account di gestione, l'accesso affidabile e gli amministratori delegati

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

L'account di gestione (chiamato anche account AWS Organization Management o account Org Management) è unico e differenziato da tutti gli altri account di AWS Organizations. È l'account che crea l'organizzazione AWS. Da questo account, puoi creare account AWS nell'organizzazione AWS, invitare altri account esistenti nell'organizzazione AWS (entrambi i tipi sono considerati account membri), rimuovere account dall'organizzazione AWS e applicare politiche IAM alla root, alle unità organizzative o agli account all'interno dell'organizzazione AWS. 

L'account di gestione implementa protezioni di sicurezza universali tramite SCP e implementazioni di servizi (come AWS CloudTrail) che influiranno su tutti gli account dei membri dell'organizzazione AWS. Per limitare ulteriormente le autorizzazioni nell'account di gestione, tali autorizzazioni possono essere delegate a un altro account appropriato, ad esempio un account di sicurezza, ove possibile. 

L'account di gestione ha le responsabilità di un account di pagamento ed è responsabile del pagamento di tutte le spese sostenute dagli account membri. Non puoi cambiare account di gestione di un'organizzazione AWS. Un account AWS può essere membro di una sola organizzazione AWS alla volta.   

A causa della funzionalità e della portata di influenza dell'account di gestione, ti consigliamo di limitare l'accesso a questo account e di concedere le autorizzazioni solo ai ruoli che ne hanno bisogno. Due funzionalità che consentono di eseguire questa operazione sono l'accesso affidabile e l'amministratore delegato. Puoi utilizzare Trusted Access per abilitare un servizio AWS da te specificato, denominato servizio attendibile, per eseguire attività nell'organizzazione AWS e nei relativi account per tuo conto. Ciò comporta la concessione di autorizzazioni per il servizio attendibile, ma in caso contrario non influenza le autorizzazioni per i ruoli o gli utenti IAM. Puoi utilizzare l'accesso affidabile per specificare le impostazioni e i dettagli di configurazione che desideri che il servizio affidabile mantenga negli account della tua organizzazione AWS per tuo conto. Ad esempio, la sezione relativa all'account di gestione dell'organizzazione del servizio AWS spiega come concedere al CloudTrail servizio AWS un accesso affidabile per creare un percorso CloudTrail organizzativo in tutti gli account dell'organizzazione AWS.

Alcuni servizi AWS supportano la funzionalità di amministratore delegato in AWS Organizations. Con questa funzione, i servizi compatibili possono registrare un account AWS nell'organizzazione AWS come amministratore per gli account dell'organizzazione AWS in tale servizio. Questa funzionalità offre ai diversi team all'interno dell'azienda la flessibilità di utilizzare account separati, in base alle loro responsabilità, per gestire i servizi AWS in tutto l'ambiente. I servizi di sicurezza AWS nell'SRA AWS che attualmente supportano gli amministratori delegati includono AWS IAM Identity Center (successore di AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector e AWS Systems Manager. L'uso della funzionalità di amministratore delegato è enfatizzato nell'SRA di AWS come best practice e deleghiamo l'amministrazione dei servizi relativi alla sicurezza all'account Security Tooling.