多帳戶環境的最佳做法

請遵循下列建議，協助您逐步設定和管理中的多帳戶環境 AWS Organizations.

帳戶和憑據

為根使用者使用高強度密碼

我們建議您使用高強度且唯一的密碼。眾多密碼管理員和高強度密碼產生演算法和工具可協助您實現這些目標。如需詳細資訊，請參閱變更密碼 AWS 帳戶根使用者。 使用您企業的資訊安全政策來管理長期儲存空間，並存取 root 使用者密碼。我們建議您將密碼儲存在符合組織安全性要求的密碼管理員系統或同等系統中。為避免建立循環相依性，請勿將 root 使用者密碼儲存在依賴於以下項目的工具中 AWS 您使用受保護帳戶登入的服務。無論您選擇哪種方法，我們都建議您優先考慮彈性，並可能考慮要求多個參與者來授權存取此文件庫以獲得增強的保護。應記錄並監控任何對密碼的存取或其儲存位置。如需其他 root 使用者密碼建議，請參閱 Root 使用者最佳做法 AWS 帳戶.

記錄使用根使用者憑證的程序

記錄重要程序在執行時的效能，以確保您有每個步驟所涉及個人的記錄。若要管理密碼，我們建議使用安全的加密密碼管理器。提供有關可能發生的任何例外狀況和無法預見事件的文件也很重要。有關詳情，請參閱疑難排解 AWS Management Console登入 AWS 「登入使用者指南」 和「使用者指南」中需要 root 使IAM用者認證的工作。

至少每個季度測試並驗證您是否繼續擁有根使用者的存取權，以及聯絡電話號碼。如此有助於向企業確認該程序正常運作，且您仍擁有根使用者的存取權。這也表示負責根存取權的人員瞭解為了讓程序成功而必須執行的步驟。若要增加回應時間和成功率，請務必確保所有參與程序的人員均確實瞭解在需要存取時必須執行的動作。

MFA為您的根使用者認證啟用

我們建議您啟用多重要素驗證 (MFA) 裝置 AWS 帳戶 根使用IAM者和您的使用者 AWS 帳戶。 這可以讓你提高你的安全欄 AWS 帳戶 並簡化對高權限使用者的存取管理，例如 AWS 帳戶 根用戶。為了滿足不同客戶的需求， AWS 支援三種類型的MFA裝置IAM，包括FIDO安全金鑰、虛擬驗證器應用程式，以及以時間為基礎的一次性密碼 (TOTP) 硬體權杖。

每種驗證器類型的實體和安全屬性皆略有不同，最適合不同的使用案例。FIDO2安全密鑰提供最高級別的保證，並且具有網絡釣魚功能。任何形式的安全狀態都比僅限密碼驗證MFA提供更強大的安全狀態，我們強烈建議您在帳戶中新增某種形式MFA的。選取最符合您安全性和營運需求的裝置類型。

如果您為主要驗證器選擇電池供電裝置 (例如TOTP硬體 Token)，請考慮同時註冊不依賴電池的驗證器作為備用機制。定期檢查裝置的功能並在到期日之前予以更換，這項作法對於保持不受中斷的存取極為重要。無論您選擇哪種類型的裝置，我們都建議您至少註冊兩個裝置 (每位使用者最多IAM支援八部裝MFA置)，以提高您對裝置遺失或故障的恢復能力。

請遵循組織針對裝置儲存MFA裝置的資訊安全性原則。建議您將MFA裝置與關聯的密碼分開儲存。這可確保存取密碼和MFA裝置需要不同的資源 (人員、資料和工具)。這種隔離方式增加了一層額外的保護，防止未經授權的存取。我們還建議您記錄並監控對MFA設備或其存儲位置的任何訪問。這有助於偵測並回應任何未經授權的存取。

有關更多信息，請參閱用戶指南中的使用多因素身份驗證保護 root IAM 用戶登錄（MFA）。如需有關啟用的指示MFA，請參閱中的使用多因素驗證 (MFA) AWS並為用戶啟用MFA設備 AWS.

套用控制以監控根使用者憑證的存取權

存取根使用者憑證應是罕見的事件。使用 Amazon 等工具建立提醒， EventBridge 以宣告管理帳戶根使用者登入資料的登入和使用。此警示應包含但不得限於根使用者本身所使用的電子郵件地址。此警示應該會很重要且很難會錯過。有關示例，請參閱監視和通知 AWS 帳戶 根使用者活動。請確認收到此類警示的人員瞭解如何驗證預期的根使用者存取權，以及如果他們認為安全事件正在進行中，該如何升級。如需詳細資訊，請參閱「回報可疑電子郵件」或「漏洞報告」。或者，您可以聯繫 AWS尋求協助和其他指導。

讓聯絡電話號碼維持在最新狀態

若要復原對您的存取權限 AWS 帳戶，擁有一個有效且有效的聯繫電話號碼至關重要，該電話號碼允許您接收短信或電話。我們建議使用專用的電話號碼，以確保 AWS 可以聯繫您以獲取帳戶支持和恢復目的。您可以通過以下方式輕鬆查看和管理您的帳戶電話號碼 AWS Management Console 或帳戶管理APIs。

有多種方法可以獲取專用電話號碼，以確保 AWS 可以與您聯繫。我們強烈建議您購買專用SIM卡和實體電話。安全地存儲手機，並SIM長期保證電話號碼仍然可用於帳戶恢復。還要確保負責行動帳單的團隊瞭解此號碼的重要性，即使號碼長時間不使用。您必須在組織內將此電話號碼保密以獲得額外的保護。

記錄中的電話號碼 AWS [連絡人資訊] 主控台頁面，並與組織中必須瞭解的特定團隊共用其詳細資訊。這種方法有助於最大程度地減少與將電話號碼轉移到其他號碼相關的風險SIM。根據您現有的資訊安全政策存放手機。不過，請勿將手機存放在與其他相關憑證資訊相同的位置。應記錄並監控任何對手機的存取或其儲存位置。如果與帳戶關聯的電話號碼有所更動，請實作程序以更新現有文件中的電話號碼。

使用適用於所有根帳戶的群組電子郵件地址

使用由您的企業管理的電子郵件地址。使用電子郵件地址，直接將收到的訊息轉寄給使用者群組。在事件中 AWS 必須聯繫帳戶的所有者，例如，為了確認訪問，電子郵件消息分發給多方。這種方法有助於減少回應延遲的風險，即使個人在度假、請病假或離開公司。

組織結構和工作負載

在單一組織內管理您的帳戶

我們建議您建立單一組織，並管理您在此組織內的所有帳戶。組織是一種安全性界限，可讓您在環境中維持各個帳戶之間的一致性。您可以跨組織內的帳戶集中套用政策或服務層級組態。如果您想要在多帳戶環境中啟用一致的政策、集中式可見性和程式設計控制，最好在單一組織中達成此目標。

根據業務目的而非報告結構來群組工作負載

我們建議您將生產工作負載環境和資料隔離在頂層工作負載OUs導向下。您OUs應該基於一組通用的控制項，而不是鏡像公司的報告結構。除了生產環境之外OUs，我們建議您定義一個或多個非生產環境OUs，其中包含用於開發和測試工作負載的帳戶和工作負載環境。如需其他指引，請參閱組織面向工作負載OUs。

使用多個帳戶來組織您的工作負載

同時 AWS 帳戶 為您提供自然的安全性，訪問和計費邊界 AWS 的費用。使用多個帳戶有好處，因為它可讓您分配帳戶層級配額和API請求率限制，以及此處列出的其他好處。我們建議您使用一些全組織的基本帳戶，例如安全性、記錄和基礎架構的帳戶。對於工作負載帳戶，您應該在不同帳戶中將生產工作負載與測試/開發工作負載分開。

服務與成本管理

Enable AWS 在組織層級使用服務主控台或API/CLI作業的服務

最佳做法是，我們建議您啟用或停用任何您想要整合的服務 AWS Organizations 使用該服務的控制台，或API操作/CLI命令等價物。使用此方法， AWS service 可以為您的組織執行所有必要的初始化步驟，例如建立任何必要的資源，以及停用服務時清理資源。 AWS Account Management 是唯一需要使用的服務 AWS Organizations 控制台或APIs啟用。若要檢閱與之整合的服務清單 AWS Organizations，請參閱AWS 服務 你可以使用 AWS Organizations。

使用帳單工具追蹤成本並最佳化資源用量

管理組織時，您會收到一份合併帳單，其中涵蓋了組織中帳戶的所有費用。對於需要存取成本可見度的企業使用者，您可以在管理帳戶中提供具有受限唯讀權限的角色來檢閱帳單和成本工具。例如，您可以建立提供帳單報表存取權的權限集，或使用 AWS Cost Explorer Service (檢視一段時間內成本趨勢的工具)，以及成本效益服務，例如 Amazon S3 儲存鏡頭和 AWS Compute Optimizer 。

在組織資源中規劃標記策略並強制執行標籤

隨著帳戶和工作負載的擴展，標籤對於成本追蹤、存取控制和資源管理來說是一項實用的功能。對於標記命名策略，請按照標記中的指導進行操作 AWS 資源。除了資源之外，您還可以在組織根目錄OUs、帳號和策略上建立標籤。請參閱「擬定您的標記策略」以取得其他資訊。