Conta de gerenciamento da organização - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conta de gerenciamento da organização

O diagrama a seguir ilustra oAWSserviços de segurança configurados na conta de Gerenciamento da organização.


        Security services for Org Management account

As seçõesO uso doAWSOrganizations para segurançaeA conta de gerenciamento, o acesso confiável e os administradores delegadosanteriormente neste guia discutiu a finalidade e os objetivos de segurança da conta de gerenciamento de organização em profundidade. Você deve seguir oMelhores práticas de segurança dopara sua conta de Gerenciamento de organização. Isso inclui o uso de um endereço de e-mail gerenciado pela sua empresa, manter as informações de contato administrativas e de segurança corretas (como anexar um número de telefone à conta no caso em queAWSprecisa entrar em contato com o proprietário da conta), habilitando a autenticação multifator (MFA) para o usuário raiz e revisando regularmente quem tem acesso à conta de Gerenciamento da organização. Os serviços implantados na conta de Gerenciamento da organização devem ser configurados com funções apropriadas, políticas de confiança e outras permissões para que os administradores desses serviços (que devem acessá-los na conta de Gerenciamento da organização) também não possam acessar indevidamente outros serviços.

Políticas de controle de serviço

Aplicar políticas de controle de serviço (SCPs) na conta do Gerenciamento da organização para garantir que o membroAWSas contas permanecem dentro de sua estratégia de governança de conta e diretrizes de controle de acesso SCPs não concedem permissões. Em vez disso, SCPs implantados na conta de Gerenciamento da organização especificam o número máximo de permissões para essaAWSorganização. SCPs adicionais são implantados para cada UO para estabelecer guardrails mais específicos para cada tipo de conta. Leia mais sobre SCPs noO uso doAWSOrganizations para segurançaseção anterior nesta referência.

Consideração sobre design

SCPs afetam somente contas de membros naAWSorganização. Eles não têm efeito sobre os usuários ou funções na conta do Gerenciamento da organização.

AWS CloudTrail

AWS CloudTrailé um serviço que oferece suporte à governança, conformidade, auditorias operacionais e auditorias de risco doAWSconta. Com o CloudTrail, você pode registrar, monitorar e reter continuamente a atividade da conta relacionada a ações em seuAWSInfraestrutura. CloudTrail é integrado aoAWS Organizationse essa integração pode ser usada para criar uma única trilha que registre todos os eventos de todas as contas doAWSorganização. Elas são chamadas de trilhas da organização. Quando você cria uma trilha da organização, uma trilha com o nome especificado é criada em cadaAWSconta que pertence à suaAWSorganização. A trilha registra a atividade de todas as contas doAWSorganização e armazena os logs em um único bucket do S3. Todas as contas noAWSA organização pode ver a trilha da organização na lista de trilhas, mas o membroAWScontas têm acesso limitado a essa trilha. Além disso, por padrão, somente a conta do Gerenciamento da organização tem acesso ao bucket do S3. Para obter mais informações sobre essas proteções, consulte aAmazon S3 como armazenamento de logs centralseção. Para ver as melhores práticas de segurança adicionais, consulte aAWS CloudTraildocumentação.

Consideração sobre design

Se as contas de membro precisarem usar CloudTrail informações de uma forma que não é permitida pela trilha da organização, os gerentes de cadaAWSconta pode criar uma trilha local com os controles apropriados.

IAM Identity Center

AWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) serve como sua fonte de identidade e permite a federação para várias contas em seuAWSorganização. Você deve confiar em um provedor de identidade que permite gerenciar identidades em um local centralizado. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, porque você está criando, gerenciando e revogando o acesso a partir de um único local. Por exemplo, se alguém deixar sua equipe, você poderá revogar o acesso a todos os aplicativos e serviços (incluindoAWScontas) de um local. Isso reduz a necessidade de várias credenciais e oferece uma oportunidade de integração com seus processos de recursos humanos (RH).

Você pode usarIAM Identity Centerpara atribuir de forma rápida e fácil o acesso de seus funcionários aAWScontas gerenciadas comAWS OrganizationsAplicativos de nuvem de negócios e aplicativos personalizados que oferecem suporte ao Security Assertion Markup Language (SAML) 2.0.IAM Identity Centerintegra-se nativamente comAWS Organizationse está ativado na conta de Gerenciamento da organização. As contas são exibidas por OU dentro doIAM Identity Centerconsole do . Isso permite que você descubra rapidamente suas contas da AWS, implante conjuntos de permissões comuns e gerencie o acesso em um único local.

Considerações sobre design
  • Os administradores podem usar o padrãoIAM Identity Centerdiretório para gerenciar seus usuários. Ou, eles podem conectar o Active Directory (AD) autogerenciados ou oAWS Managed Microsoft ADdiretório usandoAWS Directory Service(na conta do Shared Services). Esse diretório do Microsoft AD define o pool de identidades que os administradores podem extrair quando usam oIAM Identity Centerconsole para atribuir acesso SSO.AWS Directory Serviceajuda a configurar e executar um autônomoAWS Managed Microsoft ADdiretório hospedado noAWSNuvem. Você também pode usarAWS Directory ServiceConectar oAWSrecursos com um AD autogerenciado existente.

  • IAM Identity Centeré uma opção para implementar uma estratégia de autenticação SSO. Muitos clientes corporativos integram o SSO ao provedor de identidade (IdP) existente. Se você estiver usando outro IdP com SSO, recomendamos usar oSistema para gerenciamento de identidades entre domínios (SCIM)para melhor segurança, consistência e conveniência.

  • Imponha a autenticação multifator (MFA) com mecanismos de software ou hardware para fornecer uma camada adicional de verificação. Por exemplo, ao usarIAM Identity Centercomo fonte de identidade, configure oconsciente de contextoouAlways-Onconfiguração para MFA e permitir que os usuários registrem seus próprios dispositivos de MFA para acelerar a adoção.

Assessor de acesso do IAM

O consultor de acesso do IAM fornece dados de rastreabilidade na forma de serviço informações acessadas pela última vez para oAWScontas e OUs. Use esse controle de detetive para contribuir com umestratégia de privilégio mínimo. Para as entidades do IAM, você pode visualizar dois tipos de informações acessadas por último: permitidoAWSinformações de serviço e informações sobre ações permitidas. As informações incluem a data e a hora em que a tentativa foi feita.

Na conta de Gerenciamento da organização, você também pode exibir os dados acessados pela última vez do serviço para a conta de Gerenciamento da organização, OU, conta de membro ou política do IAM em suaAWSorganização. Um relatório programático para umAWSA entidade organizacional inclui uma lista de serviços que são permitidos por quaisquer SCPs que se aplicam à entidade. As informações acessadas pela última vez fornecem informações sobre o uso real do serviço (consulteCenários de exemplo), para que você possa reduzir as permissões do IAM somente para os serviços que são realmente usados.

Consideração sobre design

Serviço acessado por último para umAWS Organizationsentidade ou política só pode ser acessada a partir da conta de Gerenciamento da organização. Por esse motivo, recomendamos que você siga a abordagem de menor privilégio e separação de deveres ao definir as permissões para as identidades que acessarão essas informações.

AWS Systems Manager

AWS Systems ManagerSuporte ao Quick Setup e Systems Manager ExplorerAWS Organizationse opere a partir da conta de Gerenciamento da organização.

Configuração rápida doé um recurso de automação do Systems Manager. Ele permite que a conta de Gerenciamento da organização defina facilmente configurações para que o Systems Manager se envolva em seu nome em todas as contas em seuAWSorganização. Você pode ativar a Configuração rápida em toda a suaAWSorganização ou escolha OUs específicas. Entre outras coisas, a Quick Setup pode agendarAWS Systems ManagerAgente (Agente SSM) para executar atualizações quinzenais em suas instâncias do EC2 e pode configurar uma varredura diária dessas instâncias para identificar patches ausentes.

Systems Manager Exploreré um painel de operações personalizável que relata informações sobre oAWSrecursos da AWS. O Explorer exibe uma visualização agregada dos dados de operações para oAWScontas e atravésAWSRegiões. Isso inclui dados sobre suas instâncias do EC2 e detalhes de conformidade de patches. Depois de concluir a Configuração Integrada (que também inclui o Systems Manager OpsCenter) dentroAWS Organizations, você pode agregar dados no Explorer por OU para um todoAWSorganização. O Systems Manager agrega os dados naAWSConta de gerenciamento de organização antes de exibi-la no Explorer.

OUO de cargas de trabalhomais adiante neste guia discute o uso do Systems Manager Agent (SSM Agent) nas instâncias do EC2 na conta do Aplicativo.