As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas para um ambiente com várias contas
Siga estas recomendações para ajudar você a configurar e gerenciar um ambiente com várias contas no AWS Organizations.
Tópicos
Conta e credenciais
Usar uma senha forte para o usuário raiz
Recomendamos utilizar uma senha forte e exclusiva. Diversos gerenciadores de senhas e algoritmos e ferramentas de geração de senhas fortes podem ajudar você a alcançar esses objetivos. Para obter mais informações, consulte Alterando a senha do Usuário raiz da conta da AWS. Use a política de segurança da informação da sua empresa para gerenciar o armazenamento de longo prazo e o acesso à senha do usuário raiz. Recomendamos armazenar a senha em um sistema gerenciador de senhas ou equivalente que atenda aos requisitos de segurança da sua organização. Para evitar a criação de uma dependência circular, não armazene a senha do usuário root com ferramentas que dependam de AWS serviços nos quais você faz login com a conta protegida. Seja qual for o método escolhido, recomendamos priorizar a resiliência e considerar potencialmente exigir que vários atores autorizem o acesso a este cofre para proporcionar proteção aprimorada. Qualquer acesso à senha ou a seu local de armazenamento deve ser registrado e monitorado. Para obter recomendações adicionais de senha de usuário root, consulte Melhores práticas de usuário root para seu Conta da AWS.
Documentar os processos quanto ao uso das credenciais do usuário raiz
Documente a execução de processos importantes à medida eles são realizados para garantir a existência de um registro dos indivíduos envolvidos em cada etapa. Para gerenciar a senha, recomendamos utilizar um gerenciador de senhas criptografadas seguro. Também é importante fornecer documentação sobre quaisquer exceções e eventos imprevistos que possam ocorrer. Para obter mais informações, consulte Solução de problemas AWS Management Console faça login no AWS Guia do usuário de login e tarefas que exigem credenciais de usuário root no Guia do IAM usuário.
Teste e valide se você continua a ter acesso ao usuário raiz e se o número de telefone celular está operacional pelo menos uma vez a cada trimestre. Isso ajuda a garantir à empresa que o processo funciona e que você pode manter o acesso ao usuário raiz. Além disso, demonstra que as pessoas responsáveis pelo acesso de usuário raiz entendem as etapas que devem ser executadas para que o processo seja bem-sucedido. Para reduzir o tempo de resposta e aumentar a taxa de sucesso, é importante garantir que todos os profissionais envolvidos em um processo entendam exatamente o que devem fazer em caso de necessidade de acesso.
MFAHabilite suas credenciais de usuário root
Recomendamos que você habilite vários dispositivos de autenticação multifator (MFA) no Conta da AWS usuário root e IAM usuários em seu Contas da AWS. Isso permite que você aumente a barra de segurança em seu Contas da AWS e simplifique o gerenciamento do acesso a usuários altamente privilegiados, como o Conta da AWS usuário root. Para atender às diferentes necessidades dos clientes, AWS oferece suporte a três tipos de MFA dispositivosIAM, incluindo chaves de FIDO segurança, aplicativos de autenticador virtual e tokens de hardware de senha de uso único (TOTP) baseados em tempo.
Cada tipo de autenticador tem propriedades físicas e de segurança ligeiramente diferentes que são mais adequadas para diferentes casos de uso. FIDO2as chaves de segurança oferecem o mais alto nível de garantia e são resistentes a phishing. Qualquer forma de MFA oferece uma postura de segurança mais robusta do que a autenticação somente por senha, e é altamente recomendável que você adicione alguma forma de MFA à sua conta. Selecione o tipo de dispositivo que melhor se alinha aos seus requisitos operacionais e de segurança.
Se você escolher um dispositivo alimentado por bateria para seu autenticador principal, como um token de TOTP hardware, considere também registrar um autenticador que não dependa da bateria como mecanismo de backup. Verificar regularmente a funcionalidade do dispositivo e substituí-lo antes da data de validade também é essencial para manter o acesso ininterrupto. Independentemente do tipo de dispositivo escolhido, recomendamos registrar pelo menos dois dispositivos (com IAM suporte para até oito MFA dispositivos por usuário) para aumentar sua resiliência contra perda ou falha do dispositivo.
Siga a política de segurança da informação da sua organização para o armazenamento do MFA dispositivo. Recomendamos que você armazene o MFA dispositivo separadamente da senha associada. Isso garante que o acesso à senha e ao MFA dispositivo exija recursos diferentes (pessoas, dados e ferramentas). Essa separação adiciona uma camada extra de proteção contra acesso não autorizado. Também recomendamos que você registre e monitore qualquer acesso ao MFA dispositivo ou seu local de armazenamento. Isso ajuda a detectar e responder a qualquer acesso não autorizado.
Para obter mais informações, consulte Proteja seu login de usuário root com autenticação multifator (MFA) no Guia do IAM usuário. Para obter instruções sobre como habilitarMFA, consulte Usando a autenticação multifator (MFA) em AWSe habilitando MFA dispositivos para usuários em AWS.
Aplique controles para monitorar o acesso às credenciais do usuário-raiz
O acesso às credenciais do usuário-raiz deve ser um evento raro. Crie alertas usando ferramentas como EventBridge a Amazon para anunciar o login e o uso das credenciais do usuário raiz da conta de gerenciamento. Este alerta deve incluir, entre outras informações, o endereço de e-mail usado para o próprio usuário raiz. Esse alerta deve ser significativo e difícil de não ser visto. Por exemplo, consulte Monitorar e notificar em Conta da AWS atividade do usuário raiz
Mantenha o número de telefone de contato atualizado
Para recuperar o acesso ao seu Conta da AWS, é fundamental ter um número de telefone de contato válido e ativo que permita receber mensagens de texto ou chamadas. Recomendamos usar um número de telefone dedicado para garantir que AWS pode entrar em contato com você para fins de suporte e recuperação da conta. Você pode visualizar e gerenciar facilmente os números de telefone da sua conta por meio do AWS Management Console ou Gerenciamento de contasAPIs.
Existem várias maneiras de obter um número de telefone dedicado que garanta AWS pode entrar em contato com você. É altamente recomendável que você obtenha um SIM cartão dedicado e um telefone físico. Armazene o telefone com segurança e a SIM longo prazo para garantir que o número de telefone permaneça disponível para recuperação da conta. Certifique-se também de que a equipe responsável pela conta de telefonia celular entenda a importância desse número, mesmo que ele permaneça inativo por longos períodos. É essencial manter esse número de telefone confidencial em sua organização para garantir proteção adicional.
Documente o número de telefone no AWS Entre em contato com a página do console de informações e compartilhe seus detalhes com as equipes específicas que devem conhecê-las em sua organização. Essa abordagem ajuda a minimizar o risco associado à transferência do número de telefone para outroSIM. Armazene o telefone de acordo com sua política de segurança de informações existente. Porém, não armazene o telefone no mesmo local que as outras informações de credenciais relacionadas. Qualquer acesso ao telefone ou a seu local de armazenamento deve ser registrado e monitorado. Se o número de telefone associado a uma conta mudar, implemente processos para atualizar o número de telefone em sua documentação existente.
Usar um endereço de e-mail de grupo contas raiz
Use um endereço de e-mail gerenciado pela sua empresa. Use um endereço de e-mail que encaminhe as mensagens recebidas diretamente para um grupo de usuários. No caso de AWS deve entrar em contato com o proprietário da conta, por exemplo, para confirmar o acesso, a mensagem de e-mail é distribuída para várias partes. Essa abordagem ajuda a reduzir o risco de atrasos na resposta, mesmo que as pessoas estejam de férias, estejam doentes ou deixem a empresa.
Estrutura organizacional e cargas de trabalho
Gerenciar suas contas em uma única organização
Recomendamos criar uma única organização e gerenciar todas as suas contas nessa organização. Uma organização é um limite de segurança que permite manter a consistência entre contas em seu ambiente. Você pode aplicar centralmente políticas ou configurações de nível de serviço em todas as contas de uma organização. Se você deseja habilitar políticas consistentes, visibilidade central e controles programáticos em seu ambiente de várias contas, a melhor forma de fazer isso é com uma única organização.
Agrupar workloads com base na finalidade comercial e não na estrutura hierárquica
Recomendamos que você isole os ambientes e os dados da carga de trabalho de produção em seu nível superior orientado à carga de trabalho. OUs Você OUs deve se basear em um conjunto comum de controles, em vez de espelhar a estrutura de relatórios da sua empresa. Além da produçãoOUs, recomendamos que você defina um ou mais ambientes de não-produção OUs que contenham contas e ambientes de carga de trabalho usados para desenvolver e testar cargas de trabalho. Para obter orientação adicional, consulte Organização orientada à carga de trabalho OUs.
Use várias contas para organizar suas workloads
Uma Conta da AWS fornece segurança natural, acesso e limites de cobrança para seu AWS recursos. Há benefícios em usar várias contas, pois isso permite distribuir cotas em nível de conta e limites de API taxa de solicitação, além de benefícios adicionais listados aqui. Recomendamos usar contas básicas organizacionais diferentes, como contas para segurança, log e infraestrutura. Para contas de workload, é necessário separar as workloads de produção das workloads de teste/desenvolvimento em contas diferentes.
Gerenciamento de serviços e custos
Enable (Habilitar) AWS serviços no nível organizacional usando o console de serviço ouAPI//CLIoperations
Como prática recomendada, recomendamos ativar ou desativar todos os serviços com os quais você gostaria de integrar AWS Organizations usando o console desse serviço ou equivalentes de API operações/comandosCLI. Usando esse método, o AWS O serviço pode executar todas as etapas de inicialização necessárias para sua organização, como criar os recursos necessários e limpá-los ao desativar o serviço. AWS Account Management é o único serviço que requer o uso do AWS Organizations Console ou APIs para habilitar. Para revisar a lista de serviços que estão integrados com AWS Organizations, consulte Serviços da AWS que você pode usar com AWS Organizations.
Usar ferramentas de faturamento para monitorar custos e otimizar o uso de recursos
Ao gerenciar uma organização, você recebe uma fatura consolidada que cobre todas as cobranças das contas em sua organização. Para usuários corporativos que precisam de acesso à visibilidade dos custos, é possível fornecer um perfil na conta de gerenciamento com permissões restritas de somente leitura para revisar as ferramentas de faturamento e custo. Por exemplo, você pode criar um conjunto de permissões que fornece acesso aos relatórios de faturamento ou usar o AWS Cost Explorer Service (uma ferramenta para visualizar tendências de custo ao longo do tempo) e serviços econômicos, como Amazon S3
Planeje a estratégia de marcação e a aplicação de tags em todos os recursos da sua organização
À medida que suas contas e workloads aumentam, as tags podem ser um recurso útil para controlar os custos, o controle de acesso e a organização de recursos. Para marcar estratégias de nomenclatura, siga as orientações em Como marcar seu AWS recursos. Além dos recursos, você pode criar tags na raiz, nas contas e nas políticas da organização. OUs Consulte Criar sua estratégia de tags para obter informações adicionais.
