Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para un entorno de varias cuentas

Siga estas recomendaciones para ayudarle a configurar y administrar un entorno de varias cuentas en AWS Organizations.

Cuenta y credenciales

Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros

Recomendamos habilitar la administración del acceso raíz para ayudarlo a supervisar y eliminar las credenciales de los usuarios raíz de las cuentas de miembros. La administración del acceso raíz impide la recuperación de las credenciales de los usuarios raíz, lo que mejora la seguridad de las cuentas en su organización.

Una vez que se habilita la administración del acceso raíz, las cuentas de los secure-by-default miembros recién creadas no tienen credenciales de usuario raíz, lo que elimina la necesidad de seguridad adicional, como el MFA después del aprovisionamiento.

Para obtener más información, consulte Centralizar el acceso raíz a las cuentas de miembros en la Guía del usuario de AWS Identity and Access Management .

Mantener actualizado el número de teléfono de contacto

Para recuperar el acceso a las Cuenta de AWS tuyas, es fundamental disponer de un número de teléfono de contacto válido y activo que te permita recibir mensajes de texto o llamadas. Te recomendamos que utilices un número de teléfono específico para asegurarnos de que AWS podamos ponernos en contacto contigo con fines de asistencia y recuperación de la cuenta. Puedes ver y administrar fácilmente los números de teléfono de tu cuenta a través de la página Consola de administración de AWS o Administración de cuentas APIs.

Hay varias formas de obtener un número de teléfono exclusivo que garantice que AWS pueda contactarlo. Se recomienda encarecidamente que consiga una tarjeta SIM dedicada y un teléfono físico. Guarde el teléfono y la tarjeta SIM de forma segura y a largo plazo para garantizar que el número de teléfono permanezca disponible para la recuperación de la cuenta. Asegúrese también de que el equipo responsable de la factura del móvil comprenda la importancia de este número, incluso si permanece inactivo durante periodos prolongados. Es esencial mantener la confidencialidad de este número de teléfono dentro de su organización para garantizar protección adicional.

Documente el número de teléfono en la página de la consola de información de AWS contacto y comparta sus detalles con los equipos específicos de su organización que deben conocerlo. Este enfoque ayuda a minimizar el riesgo asociado con la transferencia del número de teléfono a una tarjeta SIM diferente. Almacene el teléfono de acuerdo con su política de seguridad de la información existente. Sin embargo, no almacene el teléfono en la misma ubicación que la otra información de credenciales relacionada. Se debe registrar y supervisar cualquier acceso al teléfono o a su ubicación de almacenamiento. Si el número de teléfono asociado a una cuenta cambia, implemente procesos para actualizar dicho número en la documentación existente.

Utilizar una dirección de correo electrónico de grupo para todas las cuentas raíz

Utilice una dirección de correo electrónico administrada por su empresa. Utilice una dirección de correo electrónico que reenvíe los mensajes recibidos directamente a un grupo de usuarios. En el caso de que AWS tengas que contactar con el propietario de la cuenta, por ejemplo, para confirmar el acceso, el mensaje de correo electrónico se distribuye a varias partes. Este enfoque ayuda a reducir el riesgo de retrasos en la respuesta, incluso si las personas están de vacaciones, se enferman o abandonan el negocio.

Estructura organizativa y cargas de trabajo

Administrar cuentas dentro de una sola organización

Se recomienda crear una sola organización y administrar todas las cuentas que se encuentran en ella. Una organización es una barrera de seguridad que le permite mantener la coherencia entre las cuentas de su entorno. Puede aplicar políticas o configuraciones de nivel de servicio de forma centralizada en todas las cuentas de una organización. Si desea habilitar políticas coherentes, visibilidad central y controles programáticos en su entorno de varias cuentas, lo mejor es hacerlo dentro de una sola organización.

Agrupar cargas de trabajo en función del propósito empresarial y no de la estructura de informes

Le recomendamos que aísle los entornos y los datos de las cargas de trabajo de producción en un nivel superior orientado a las cargas de trabajo OUs. OUs Debe basarse en un conjunto común de controles en lugar de reflejar la estructura de informes de su empresa. Además de los de producción OUs, le recomendamos que defina uno o varios entornos no productivos OUs que contengan cuentas y entornos de carga de trabajo que se utilicen para desarrollar y probar las cargas de trabajo. Para obtener más información, consulte Organización orientada a las cargas de trabajo. OUs

Utilizar varias cuentas para organizar cargas de trabajo

Y Cuenta de AWS proporciona límites naturales de seguridad, acceso y facturación para sus recursos. AWS El uso de varias cuentas tiene sus ventajas, ya que permite distribuir las cuotas de nivel de cuenta y los límites de tasa de solicitudes de API, además de las ventajas adicionales que se enumeran a continuación. Se recomienda utilizar varias cuentas básicas de toda la organización, como cuentas de seguridad, registro e infraestructura. En el caso de las cuentas de carga de trabajo, debe separar las cargas de trabajo de producción de las test/development cargas de trabajo en cuentas independientes.

Administración de costos y servicio

Habilite AWS los servicios a nivel organizativo mediante la consola de servicios o las operaciones API/CLI

Como práctica recomendada, te recomendamos que habilites o deshabilites cualquier servicio con el que desees integrarte AWS Organizations mediante la consola de ese servicio o las operaciones de la API o los comandos CLI equivalentes. Con este método, el AWS servicio puede realizar todos los pasos de inicialización necesarios para su organización, como crear los recursos necesarios y limpiarlos al inhabilitar el servicio. AWS Account Management es el único servicio que requiere el uso de la AWS Organizations consola o que debe APIs habilitarse. Para revisar la lista de servicios con los que están integrados AWS Organizations, consulteServicios de AWS que puedes usar con AWS Organizations.

Utilizar las herramientas de facturación para realizar un seguimiento de los costos y optimizar el uso de los recursos

Al administrar una organización, recibe una factura consolidada que cubre todos los cargos de las cuentas de su organización. Para los usuarios empresariales que necesiten acceder a la visibilidad de los costes, puede proporcionar una función en la cuenta de administración con permisos restringidos de solo lectura para revisar las herramientas de facturación y costos. Por ejemplo, puede crear un conjunto de permisos que proporcione acceso a los informes de facturación o utilizar el  AWS Cost Explorer Service (una herramienta de visualización de tendencias de los costos a lo largo del tiempo) y servicios rentables, como Lente de almacenamiento de Amazon S3 y AWS  Compute Optimizer.

Planificar la estrategia de etiquetado y la aplicación de las etiquetas en todos los recursos de la organización

A medida que las cuentas y cargas de trabajo aumentan, las etiquetas pueden ser una característica útil para el seguimiento de costos, el control de acceso y la organización de los recursos. Para etiquetar las estrategias de nomenclatura, siga las instrucciones de Etiquetar sus AWS recursos. Además de los recursos, puedes crear etiquetas en la raíz, las cuentas y las políticas de la organización. OUs Consulte la sección Building your tagging strategy para obtener más información.