本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
请遵循以下建议,以帮助保护组织中成员账户的安全。这些建议假定您还遵守仅将根用户用于真正需要它的任务的最佳实践。
定义账户名称和属性
对于成员账户,请使用反映账户使用情况的命名结构和电子邮件地址。例如,Workloads+fooA+dev@domain.com 可用于 WorkloadsFooADev,Workloads+fooB+dev@domain.com 可用于 WorkloadsFooBDev。如果您为组织定义了自定义标签,我们建议您根据账户使用情况、成本中心、环境和项目,来为账户分配这些标签。这样可以更轻松地识别、整理和搜索账户。
高效扩展环境和使用账户
在扩大规模时,在创建新账户之前,请确保尚不存在满足类似需求的账户,以避免不必要的重复。 AWS 账户 应基于共同的访问要求。如果您计划回收利用某些账户(例如沙盒账户或等效账户),我们建议您清理账户中不需要的资源或工作负载,但保存这些账户以备将来使用。
在注销账户之前,请注意账户注销限额限制。有关更多信息,请参阅 的配额和服务限制 AWS Organizations。考虑实施清理流程以回收利用账户,而不是尽可能注销账户和创建新账户。这样,您就可以避免因运行资源和达到 CloseAccount API 限制而产生成本。
启用 root 访问权限管理以简化成员账户的 root 用户凭证的管理
我们建议您启用 root 访问权限管理,以帮助您监控和删除成员账户的 root 用户证书。根访问权限管理可防止根用户凭证的恢复,从而提高组织中的账户安全性。
删除成员账户的 root 用户凭证,以防止登录 root 用户。这还会阻止恢复成员帐户的根用户。
假设特权会话对成员账户执行以下任务:
删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。
删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
允许成员账户恢复其根用户证书。有权访问该成员账户的根用户电子邮件收件箱的人可以重置 root 用户密码并以成员账户 root 用户身份登录。
启用根访问管理后,新创建的成员账户将没有根用户证书,这样就无需在配置后提供额外的安全保护,例如MFA。 secure-by-default
有关更多信息,请参阅《用户指南》中的 “集中管理成员账户的根AWS Identity and Access Management 用户证书”。
使用 SCP 限制成员账户中的根用户可以执行的操作
我们建议您在组织中创建服务控制策略(SCP)并将其附加到组织的根,以便将其应用于所有成员账户。有关更多信息,请参阅保护 Organizations 账户根用户凭证。
除必须在成员账户中执行的特定仅限根操作外,您可以拒绝所有根操作。例如,以下 SCP 可防止任何成员账户中的根用户进行任何 AWS 服务 API 调用,但 “更新配置错误的 S3 存储桶策略并拒绝所有委托人访问权限”(需要根凭证的操作之一)除外。有关更多信息,请参阅《IAM 用户指南》中的需要根用户凭证的任务。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
在大多数情况下,任何管理任务都可以由成员账户中具有相关管理员权限的 AWS Identity and Access Management (IAM)角色执行。对于任何此类角色,都应使用适当的控件来限制、记录和监控其活动。
