Práticas recomendadas para contas-membro - AWS Organizations

Práticas recomendadas para contas-membro

Siga estas recomendações para ajudar a proteger a segurança das contas -membro em sua organização. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.

Usar um endereço de e-mail de grupo para todos os usuários-raiz das contas-membro

  • Use um endereço de e-mail gerenciado pela sua empresa. Não use um provedor de e-mail público ou gerenciado por terceiros.

  • Use um endereço de e-mail que encaminhe as mensagens recebidas diretamente para uma lista de gerentes de negócios seniores. No caso da AWS precisar entrar em contato com o proprietário da conta, por exemplo, para confirmar o acesso, o e-mail é distribuído para várias partes. Essa abordagem ajuda a reduzir o risco de atrasos na resposta, mesmo que as pessoas estejam de férias, estejam doentes ou deixem a empresa.

Use uma senha complexa para o usuário raiz da conta-membro

  • A segurança do usuário raiz da sua conta depende da força da senha dele. Recomendamos que você use uma senha longa, complexa e que não seja usada em nenhum outro lugar. Vários gerenciadores de senhas, e algoritmos e ferramentas complexos de geração de senhas podem ajudá-lo a alcançar esses objetivos.

  • Se você estiver usando uma senha forte, conforme descrito no ponto anterior, e raramente acessar o usuário-raiz, recomendamos que não altere periodicamente a senha. Alterar a senha com mais frequência do que você a usa aumenta o risco de comprometimento.

  • Confie na política de segurança das informações da sua empresa para gerenciar o armazenamento a longo prazo e o acesso às senhas dos usuários-raiz das contas-membro. Ao contrário da conta de gerenciamento, no entanto, é razoável considerar armazenar a senha em um sistema ou ferramenta de gerenciador de senhas confiável e aprovado pela empresa.

    Armazene a senha em um sistema ou ferramenta de gerenciamento de senhas com mais controles e processos. Se você usar um gerenciador de senhas, recomendamos que ele seja offline. Para evitar criar uma dependência circular, não armazene a senha com ferramentas que dependem de serviços da AWS em que você faz login com a conta protegida.

    Seja qual for o método escolhido, recomendamos que o método seja resiliente e exija que vários atores estejam envolvidos, para reduzir os riscos de conluio.

  • Alternativamente, você pode armazenar a senha de um usuário-raiz de conta-membro em um cofre, usando as orientações que fornecemos para o usuário-raiz da conta de gerenciamento.

  • Considere não habilitar credenciais para o usuário-raiz em contas-membro criadas. Por padrão, o Organizations atribui uma senha aleatória, complexa e muito longa que você não pode recuperar. Em vez disso, para acessar o usuário-raiz, você deve executar as etapas para recuperação de senha. Recomendamos que você não faça isso a menos que você precise executar uma tarefa que só pode ser executada pelo usuário raiz na conta. Para mais informações, consulte Acessar a conta-membro como usuário-raiz.

  • No entanto, você optar por lidar com a senha do usuário-raiz, pode aplicar uma política de controle de serviço (SCP) que impeça que os usuários-raiz da conta membro chamem qualquer API da AWS. No entanto, se você precisar responder a um evento de segurança significativo em uma conta-membro, pode precisar ter acesso rápido ao usuário-raiz da conta. Portanto, usar uma senha complexa para o usuário-raiz da conta-membro e criar procedimentos para acesso e uso com antecedência ainda é a abordagem recomendada, conforme descrito nos pontos anteriores.

Habilitar a MFA para as credenciais do usuário raiz

Para obter instruções sobre como habilitar a autenticação multifator (MFA), consulte Usando autenticação multifator (MFA) no AWS.

  • Recomendamos que você use um dispositivo baseado em hardware que não dependa de bateria para gerar a senha de uso único (OTP). Essa abordagem ajuda a garantir que a MFA seja impossível de duplicar e não esteja sujeita a riscos de desvanecimento da bateria durante o armazenamento de longo prazo

    • Se você decidir usar uma MFA baseada em bateria, certifique-se de adicionar processos para verificar o dispositivo periodicamente e substituí-lo quando a data de expiração se aproximar.

    • Crie um plano para lidar com a logística da necessidade de manter o acesso 24/7 ao token caso seja necessário.

  • Se você optar por usar um aplicativo de MFA virtual, ao contrário de nossa recomendação para o usuário raiz da conta de gerenciamento, para contas-membro, você pode reutilizar um único dispositivo de MFA para várias contas-membro. Você pode lidar com as limitações geográficas imprimindo e armazenando com segurança o código QR usado para configurar a conta no aplicativo virtual de MFA. Documente a finalidade do código QR, sele-o e armazene-o em cofres acessíveis em todos os fusos horários em que você opera, de acordo com sua política de segurança de informações. Em seguida, quando o acesso for necessário em um local geográfico diferente, a cópia local do código QR pode ser recuperada e usada para configurar um aplicativo de MFA virtual no novo local.

  • Armazene o dispositivo de MFA de acordo com sua política de segurança de informações, mas não no mesmo local que a senha associada para o usuário raiz. Certifique-se de que o processo para acessar a senha e o processo para acessar o dispositivo com MFA exijam procedimentos de acesso diferentes por recursos diferentes (pessoas, dados e ferramentas).

  • Qualquer acesso ao dispositivo com MFA ou a seu local de armazenamento deve ser registrado e monitorado.

  • Se você perder ou quebrar seu dispositivo com MFA, talvez seja necessário entrar em contato com o suporte ao cliente para remover a MFA da sua conta. Antes de fazer isso, eles devem verificar se a pessoa que faz a solicitação está de posse do endereço de e-mail, número de telefone e perguntas de segurança associadas à conta. Portanto, certifique-se de ter essas informações e mantê-las atualizadas e armazenadas de forma segura.

Adicione o número de telefone da conta de gerenciamento às informações de contato da conta-membro

  • Normalmente, você pode confiar no número de telefone da conta de gerenciamento da organização para qualquer recuperação de conta crítica. Portanto, acreditamos que é uma sobrecarga operacional desnecessária gerenciar um número de telefone separado para as informações de contato de uma conta-membro. Portanto, recomendamos adicionar o mesmo número de telefone da conta de gerenciamento. Quer você use o mesmo número da conta de gerenciamento ou não, mantenha uma lista precisa dos números de telefone usados e quaisquer perguntas de segurança ativas em um local seguro, de forma semelhante às próprias credenciais.

Revise e controle quem tem acesso

  • Como recomendado para a conta de gerenciamento, você deve revisar periodicamente o pessoal da sua empresa que tem acesso ao endereço de e-mail, senha, MFA e número de telefone do usuário raiz da conta-membro. Alinhe sua revisão com os procedimentos existentes da empresa. Entretanto, vale a pena adicionar uma revisão mensal ou trimestral dessas informações para garantir que apenas as pessoas corretas tenham acesso.

  • Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.

Documente os processos de uso das credenciais do usuário-raiz

  • É comum que processos importantes, como a criação da conta de gerenciamento da organização, sejam processos planejados, incluindo várias etapas com vários funcionários. Recomendamos que você documente e publique esse plano, incluindo as etapas a serem executadas e sua sequência de conclusão. Esta abordagem ajuda a garantir que as decisões tomadas sejam seguidas corretamente.

  • Documente a performance de processos importantes à medida eles são realizados para garantir que você tenha um registro dos indivíduos envolvidos em cada etapa e dos valores usados. Também é importante fornecer documentação sobre quaisquer exceções e eventos imprevistos que ocorram.

    Se ocorrer uma exceção ou evento imprevisto, documente a hora em que ocorreu, quem saiu da sala e o que foi removido. Você também deve documentar quem voltou para a sala e o que foi trazido de volta.

  • Crie e publique processos sobre como usar as credenciais do usuário raiz em cenários diferentes, como redefinição de senha. Se você não tiver certeza sobre o processo para interagir com o AWS Support em um cenário específico, crie um tíquete de suporte para solicitar as orientações mais recentes sobre como executar essa tarefa.

    Alguns dos cenários que você deve documentar incluem o seguinte:

    • Acessar o usuário-raiz para executar uma das operações que somente o usuário-raiz pode executar.

    • Redefinir uma senha de usuário-raiz quando você perde o acesso.

    • Alterar a senha do usuário-raiz quando você ainda tem acesso.

    • Redefinir a MFA do usuário-raiz quando você perde o acesso ao dispositivo.

    • Alterar a MFA do usuário-raiz quando você usa um dispositivo baseado em bateria.

    • Redefinir o endereço de e-mail do usuário-raiz quando você perde o acesso à conta de e-mail.

    • Alterar o endereço de e-mail do usuário-raiz quando você ainda tem acesso.

    • Redefinir o número de telefone do usuário-raiz quando você perde o acesso ao número de telefone.

    • Alterar o número de telefone do usuário-raiz quando você ainda tem acesso.

    • Exclusão da conta de gerenciamento da organização.

  • Teste e valide se você continua a ter acesso ao usuário-raiz e se o número de telefone celular da conta-membro (se você tiver atribuído um) está operacional pelo menos trimestralmente. Essas programações ajudam a garantir à empresa que o processo funciona e que você mantém o acesso. Demonstra também que os responsáveis pelo acesso compreendem as etapas que precisam executar para que o processo seja bem-sucedido. Você nunca quer estar em uma posição em que o pessoal envolvido em um processo não entenda o que deve fazer. Tal como acontece com os exercícios de incêndio, a prática desenvolve competência e reduz surpresas.

    A cada teste, aproveite a oportunidade para refletir sobre a experiência e propor melhorias no processo. Examine especialmente todas as etapas que foram executadas incorretamente ou tiverem resultados inesperados. Como você pode mudar o processo para melhorá-lo da próxima vez?

    Alguns clientes usam esses testes como uma oportunidade para alternar senhas. Nossa recomendação é não fazer isso e manter a mesma senha complexa. Você só deve procurar atualizar a senha se suspeitar que ela foi comprometida.

Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer

Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. O exemplo de SCP a seguir evita que o usuário-raiz membro em qualquer conta-membro possa fazer qualquer AWSchamada de API do serviço .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por uma função do AWS Identity and Access Management (IAM) na conta-membro que tenha as permissões de administrador relevantes. Tais funções devem ter controles adequados aplicados que limitem, registrem e monitorem a atividade.

Aplique controles para monitorar o acesso às credenciais do usuário-raiz

  • Se você optar por habilitar o acesso às credenciais do usuário-raiz, esse acesso deve ser um evento raro. Crie alertas usando ferramentas como o Amazon CloudWatch Events para informar o login e o uso das credenciais do usuário-raiz. Este aviso deve ser significativo e difícil de ignorar, seja o uso válido ou malicioso. Para ver um exemplo, consulte Monitorar e notificar atividade de usuário-raiz da Conta da AWS.

  • Certifique-se de que a equipe que receber tal aviso entenda como validar que o acesso do usuário-raiz é esperado e como escalar se acreditar que um incidente de segurança está em andamento.