管理アカウントのベストプラクティス - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理アカウントのベストプラクティス

管理アカウントのセキュリティを保護するには、以下の推奨事項に従ってください。AWS Organizations。これらの推奨事項は、あなたも遵守することを前提としていますルートユーザーを本当に必要とするタスクに対してのみ、ルートユーザーを使用するというベストプラクティス

注記

AWS Organizationsは、「マスターアカウント」の名前を「管理アカウント」に変更しています。これは名前変更のみであり、機能に変更はありません。新しい用語に移行する作業を完了している間、古い用語がいくつか表示される場合があります。あなたが私たちが見逃したものを見た場合、フィードバックリンクをクリックして、お知らせください。

管理アカウントは、require管理アカウント

管理アカウントとそのユーザーおよびロールは、そのアカウントでのみ実行できるタスクに対してのみ使用することをお勧めします。あなたのすべてを保管するAWSのリソースOS AWS アカウント 組織内の管理アカウントからそれらを維持します。ただし、1 つの例外として、AWS CloudTrailにアクセスして、関連する CloudTrail の証跡とログを管理アカウントに保存します。

他のアカウントにリソースを保持する重要な理由の 1 つは、Organizations サービス制御ポリシー (SCP) が、管理アカウントのユーザーまたはロールを制限するために機能しないためです。

リソースを管理アカウントから分離すると、請求書の請求額を理解しやすくなります。

管理アカウントの root ユーザーにグループのメールアドレスを使う

  • ビジネスで管理されているメールアドレスを使用します。パブリック電子メールプロバイダまたはサードパーティによって管理される電子メールプロバイダを使用しないでください。

  • 受信したメッセージをシニアビジネスマネージャーのリストに直接転送する電子メールアドレスを使用します。イベントでAWSは、アカウントの所有者に連絡する必要があります。たとえば、アクセスを確認するために、電子メールメッセージが複数の当事者に配布されます。このアプローチは、個人が、休暇中、病気で、またはビジネスを離れる場合でも、応答の遅延のリスクを軽減するのに役立ちます。

管理アカウントのルートユーザー

  • アカウントのルートユーザーパスワードの強さに依存します。長く、複雑で、他の場所では使用しないパスワードを使用することをお勧めします。多数のパスワードマネージャと複雑なパスワード生成アルゴリズムとツールが、これらの目標を達成するのに役立ちます。

  • 前のポイントで説明したように、強力なパスワードを使用していて、rootユーザーにアクセスすることはめったにありません。ない定期的にパスワードを変更します。パスワードを使用するよりも頻繁にパスワードを変更すると、侵害のリスクが高くなります。

  • 長期保存の管理や root ユーザーのパスワードへのアクセスについては、ビジネスの情報セキュリティポリシーをご利用ください。このアプローチは、次のいずれかを実行することを意味します。

    • パスワードを印刷して、金庫に保管します。

    • パスワードを分割し、シニア・ビジネス・マネージャに配布します。

    • パスワードは、さらに制御およびプロセスの下でパスワードマネージャシステムまたはツールに保存します。パスワードマネージャーを使用する場合は、オフラインにすることをお勧めします。循環依存関係を作成しないようにするには、root ユーザーのパスワードをAWSサービスを、保護されたアカウントでサインインします。

    どのような方法を選択しても、この方法は弾力性があり、共謀リスクを軽減するために複数のアクターが関与することを推奨します。

  • パスワードまたはその保存場所へのアクセスは、ログに記録され、監視される必要があります。

の MFA を有効にするルートユーザー認証情報

多要素認証 (MFA) を有効にする方法については、での多要素認証 (MFA) の使用AWS

  • バッテリに依存しないハードウェアベースのデバイスを使用して、ワンタイムパスワード(OTP)を生成します。このアプローチは、MFA を複製することは不可能であり、長期保存中にバッテリフェードリスクの影響を受けないことを保証するのに役立ちます。

    • バッテリーベースの MFA を使用する場合は、デバイスを定期的にチェックするプロセスを追加し、有効期限が近づくと交換してください。

    • 必要な場合に備えて、トークンへの24時間365日アクセスを維持する必要がある物流を処理する計画を作成します。

  • 私たちは強くお勧めしますしないは、この管理アカウントを保護する以外の目的で物理的な MFA を再利用します。物理 MFA を再利用すると、運用上の混乱と MFA の不要なエクスポージャーが発生する可能性があります。

  • 情報セキュリティポリシーに従って MFA デバイスを保存しますが、ないユーザーのパスワードと同じ場所に配置します。パスワードにアクセスするプロセスと、MFA にアクセスするプロセスが、異なるリソース(人、データ、ツール)に対して異なるアクセスが必要であることを確認してください。

  • MFA デバイスまたはそのストレージロケーションのアクセスはすべて、ログに記録し、監視する必要があります。

アカウントの連絡先情報に電話番号を追加する

  • 固定電話、SIP、および携帯電話番号に対する信頼できる攻撃ベクトルはいくつかありますが、全体的なリスクは、これらのベクトルの複雑さによって上回ります。このメカニズムを使用して root アクセスを回復する場合、他の要因はAWS Supportこれらのリスクを管理するために代表者。したがって、プロセスの有用な追加の障壁として電話番号を追加することをお勧めします。

  • 電話番号をプロビジョニングするためのいくつかのオプションがありますが、推奨されるのは、専用のSIMカードと電話で、長期間にわたって金庫に保管されています。この電話契約のモバイル料金を支払う責任があるチームが、長期間にわたって通話が送受信されることは明らかにないにもかかわらず、番号の重要性を理解するようにすることが重要です。

  • この電話番号は、ビジネス内でよく知られていないことが重要です。ドキュメントをAWSお問い合わせ情報コンソールページを開き、その詳細を請求チームと共有します。他の場所に文書化しないでください。このアプローチは、SIM に関連付けられている電話番号を別の SIM に移動することに関連する攻撃ベクトルのリスクを軽減するのに役立ちます。

  • 既存の情報セキュリティポリシーに従って電話を格納します。ただし、他の関連するクレデンシャル情報と同じ場所に電話機を格納しないでください。

  • 電話機またはその保管場所のアクセスは、ログに記録され、監視される必要があります。

誰がアクセス権を持っているかを確認し、追跡する

  • 管理アカウントへのアクセスを維持するには、メールアドレス、パスワード、MFA、およびアカウントに関連付けられた電話番号にアクセスできるビジネス内の担当者を定期的に確認します。レビューを既存のビジネス手順に合わせます。ただし、適切なユーザーのみがアクセスできることを確認するために、この情報の月次または四半期ごとのレビューを追加することは価値があります。

  • root ユーザーの認証情報へのアクセスを回復またはリセットするプロセスが、特定の個人に依存しないことを確認します。すべてのプロセスは、利用できない人々の見通しに対処する必要があります。

root ユーザーの認証情報を使用するためのプロセスの文書化

  • 組織の管理アカウントの作成などの重要なプロセスは、複数の担当者が複数の手順を含む計画されたプロセスであることが一般的です。実行するステップとその完了の順序を含め、そのプランを文書化して公開することをお勧めします。このアプローチは、決定が正しく従っていることを確認するのに役立ちます。

  • 重要なプロセスの実行時のパフォーマンスを文書化し、各ステップに関与した個人と使用される値の記録を確実にします。また、発生する例外や予期せぬイベントに関するドキュメントを提供することも重要です。

    例外または予期せぬイベントが発生した場合は、発生した時間、部屋を出た人、取り出された内容を文書化します。その後、誰が部屋に戻ったのか、持ち帰られたのかを文書化する必要があります。

  • パスワードのリセットなど、さまざまなシナリオで root ユーザーの資格情報を使用する方法に関する公開プロセスのスイートを作成します。あなたが相互作用するためのプロセスについて全くわからない場合AWS Support特定のシナリオでは、サポートチケットを作成して、そのタスクの実行方法に関する最新のガイダンスを求めます。

    ドキュメント化する必要のあるシナリオは以下のとおりです。

    • root ユーザーにアクセスして、root ユーザーのみが実行できる操作の 1 つを実行します。

    • アクセスを失ったときに root ユーザーのパスワードをリセットする。

    • アクセス権がある場合に root ユーザーのパスワードを変更する。

    • デバイスへのアクセスが失われたときに、ルートユーザー MFA をリセットします。

    • バッテリベースのデバイスを使用するときに root ユーザー MFA を変更する。

    • 電子メールアカウントにアクセスできなくなったときに、root ユーザーの電子メールアドレスをリセットします。

    • まだアクセス権があるときに root ユーザーの電子メールアドレスを変更する。

    • 電話番号にアクセスできなくなったときに、root ユーザーの電話番号をリセットします。

    • まだアクセス権があるときに root ユーザーの電話番号を変更する。

    • 組織の管理アカウントを削除します。

  • root ユーザーに引き続きアクセスできること、および携帯電話番号が少なくとも四半期ごとに動作していることをテストし、検証します。このスケジュールは、プロセスが機能し、アクセスを維持することをビジネスに保証するのに役立ちます。また、アクセスのカストディアンが、プロセスを成功させるために実行する必要がある手順を理解していることも示しています。あなたは、プロセスに関与する担当者が何をすべきかを理解していない立場にはなりたくありません。火災訓練と同様に、練習は能力を開発し、驚きを減らします。

    各テストでは、経験を反映し、プロセスの改善を提案する機会を取ります。特に、正しく実行されなかった手順や、予期しない結果になった手順を調べます。どのようにしてプロセスを変更し、次にそれを改善することができますか?

    一部の顧客は、これらのテストをパスワードをローテーションする機会として使用しています。私たちは、パスワードをローテーションしないことをお勧めします。代わりに、同じ複雑なパスワードを維持します。パスワードが侵害された疑いがある場合にのみ、パスワードを更新することを検討してください。

rootユーザーの認証情報へのアクセスを監視するためのコントロールの適用

  • root ユーザーの認証情報へのアクセスは、まれなイベントです。Amazon CloudWatch Events などのツールを使用してアラートを作成し、管理アカウントのルートユーザー認証情報のログインと使用を通知します。この発表には、root ユーザー自体に使用される電子メールアドレスが含まれていますが、これらに限定されません。この発表は、使用が有効であるか悪質であるかに関わらず、重要であり、見逃しにくいはずです。例については、「」を参照してください。監視と通知 AWS アカウント ルートユーザーアクティビティ

  • このようなアナウンスを受け取る担当者が、ルートユーザーのアクセスが想定されていることを確認する方法と、セキュリティインシデントが進行中であると判断した場合のエスカレーション方法を理解していることを確認します。