A conta de gerenciamento, o acesso confiável e os administradores delegados - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

A conta de gerenciamento, o acesso confiável e os administradores delegados

A conta de gerenciamento (também chamada deAWSConta de gerenciamento da organização ou conta de gerenciamento da organização) é exclusiva. É a conta que cria oAWSorganização. A partir desta conta, você pode criarAWScontas noAWSorganização, convide outras contas existentes para aAWSorganização (ambos os tipos são consideradosContas-membro do), remova contas doAWSOrganização e aplique políticas do IAM à raiz, UOs ou contas dentro doAWSorganização. A conta de gerenciamento pode implantar os guardrails de segurança universais por meio de SCPs e implantações de serviços (comoAWS CloudTrail) que afetará todas as contas de membros naAWSorganização. Para restringir ainda mais as permissões na conta de gerenciamento, essas permissões devem ser delegadas a outra conta apropriada, como uma conta de segurança, sempre que possível. A conta de gerenciamento tem as responsabilidades de uma conta pagadora e é responsável pelo pagamento de todos as cobranças que são acumuladas pelas contas-membro. Você não pode alternar umAWSConta de gerenciamento da organização. UmaAWSUma conta só pode ser membro de umaAWSorganização de cada vez.

Devido à funcionalidade e ao escopo de influência que a conta de gerenciamento detém, recomendamos que você limite o acesso a essa conta e conceda permissões somente para funções que precisam delas. Dois recursos que ajudam você a fazer isso sãoAcesso confiáveleAdministrador delegado. Você pode usar o acesso confiável para ativar umAWSserviço que você especificar, chamado deserviçoServiço confiável, para executar tarefas em seuAWSOrganização e suas contas em seu nome. Isso requer a concessão de permissões ao serviço confiável, mas não afeta de outra forma as permissões para usuários ou funções do IAM. Você pode usar o acesso confiável para especificar configurações e detalhes de configuração que deseja que o serviço confiável mantenha noAWSAs contas da organização em seu nome. Por exemplo, as receitasConta de gerenciamento de organizaçãoSeção do doAWSSRA explica como conceder oAWS CloudTrailacesso confiável de serviço para criar um CloudTrail “trilha de organização” em todas as contas doAWSorganização.

AlgunsAWSserviços suportam o recurso de administrador delegado emAWS Organizations. Com esse recurso, os serviços compatíveis podem registrar umAWSConta de membro noAWSorganização como administrador para oAWScontas da organização nesse serviço. Esse recurso oferece flexibilidade para diferentes equipes de sua empresa usarem contas separadas, conforme apropriado para suas responsabilidades, para gerenciarAWSserviços em todo o ambiente. OAWSserviços de segurança noAWSO SRA que atualmente oferece suporte ao administrador delegado incluiAWS Config,AWS Firewall Manager, Amazon GuardDuty,AWSAnalisador de acesso IAM, Amazon Macie,AWS Security Hub, eAWS Systems Manager. O uso do recurso de administrador delegado é enfatizado naAWSA SRA como uma prática recomendada e delegamos a administração de serviços relacionados à segurança à conta do Security Tooling.