Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas para un entorno de varias cuentas
Siga estas recomendaciones como ayuda para configurar y administrar un entorno de varias cuentas en AWS Organizations.
Temas
Cuenta y credenciales
Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros
Recomendamos habilitar la administración del acceso raíz para ayudarlo a supervisar y eliminar las credenciales de los usuarios raíz de las cuentas de miembros. La administración del acceso raíz impide la recuperación de las credenciales de los usuarios raíz, lo que mejora la seguridad de las cuentas en su organización.
Elimine las credenciales del usuario raíz de las cuentas de miembros para impedir iniciar sesión en la cuenta de usuario raíz. Esto también impide la recuperación de las cuentas de miembro del usuario raíz.
Suponga que tiene una sesión privilegiada para realizar las siguientes tareas en las cuentas de miembros:
Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.
Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.
Permita que la cuenta de miembro recupere sus credenciales de usuario raíz. La persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá entonces seguir los pasos para restablecer la contraseña del usuario raíz e iniciar sesión como el usuario raíz de la cuenta de miembro.
Una vez habilitada la administración del acceso raíz, por defecto las cuentas de miembros recién creadas serán seguras y no tendrán credenciales de usuario raíz, lo que elimina la necesidad de seguridad adicional, como la MFA después del aprovisionamiento.
Para obtener más información, consulte Centralizar el acceso raíz a las cuentas de miembros en la Guía del usuario de AWS Identity and Access Management.
Mantener actualizado el número de teléfono de contacto
Para recuperar el acceso a su Cuenta de AWS, es crucial tener un número de teléfono de contacto válido y activo que le permita recibir mensajes de texto o llamadas. Se recomienda que utilice un número de teléfono específico para asegurarnos de que AWS puede ponerse en contacto con usted con fines de soporte y recuperación de la cuenta. Puede ver y administrar fácilmente los números de teléfono de su cuenta a través de la Consola de administración de AWS o de nuestras API de administración de cuentas.
Hay varias formas de obtener un número de teléfono específico que garantice que AWS pueda comunicarse con usted. Se recomienda encarecidamente que consiga una tarjeta SIM dedicada y un teléfono físico. Guarde el teléfono y la tarjeta SIM de forma segura y a largo plazo para garantizar que el número de teléfono permanezca disponible para la recuperación de la cuenta. Asegúrese también de que el equipo responsable de la factura del móvil comprenda la importancia de este número, incluso si permanece inactivo durante periodos prolongados. Es esencial mantener la confidencialidad de este número de teléfono dentro de su organización para garantizar protección adicional.
Documente el número de teléfono en la página de la consola de información de contacto de AWS y comparta su información con los equipos específicos que deben conocerla dentro de su organización. Este enfoque ayuda a minimizar el riesgo asociado con la transferencia del número de teléfono a una tarjeta SIM diferente. Almacene el teléfono de acuerdo con su política de seguridad de la información existente. Sin embargo, no almacene el teléfono en la misma ubicación que la otra información de credenciales relacionada. Se debe registrar y supervisar cualquier acceso al teléfono o a su ubicación de almacenamiento. Si el número de teléfono asociado a una cuenta cambia, implemente procesos para actualizar dicho número en la documentación existente.
Utilizar una dirección de correo electrónico de grupo para todas las cuentas raíz
Utilice una dirección de correo electrónico administrada por su empresa. Utilice una dirección de correo electrónico que reenvíe los mensajes recibidos directamente a un grupo de usuarios. En el caso de que AWS necesite ponerse en contacto con el titular de la cuenta, por ejemplo, para confirmar el acceso, el mensaje de correo electrónico se distribuirá a varias partes. Este enfoque ayuda a reducir el riesgo de retrasos en la respuesta, incluso si las personas están de vacaciones, se enferman o abandonan el negocio.
Estructura organizativa y cargas de trabajo
Administrar cuentas dentro de una sola organización
Se recomienda crear una sola organización y administrar todas las cuentas que se encuentran en ella. Una organización es una barrera de seguridad que le permite mantener la coherencia entre las cuentas de su entorno. Puede aplicar políticas o configuraciones de nivel de servicio de forma centralizada en todas las cuentas de una organización. Si desea habilitar políticas coherentes, visibilidad central y controles programáticos en su entorno de varias cuentas, lo mejor es hacerlo dentro de una sola organización.
Agrupar cargas de trabajo en función del propósito empresarial y no de la estructura de informes
Se recomienda aislar los entornos de carga de trabajo de producción y los datos en sus unidades organizativas de nivel superior orientadas a las cargas de trabajo. Sus unidades organizativas deben basarse en un conjunto común de controles, en lugar de reproducir la estructura de informes de la empresa. Además de las unidades organizativas de producción, se recomienda que defina una o más unidades organizativas que no sean de producción y que contengan cuentas y entornos de carga de trabajo que se utilicen para desarrollar y comprobar las cargas de trabajo. Para más información, consulte Organizing workload-oriented OUs.
Utilizar varias cuentas para organizar cargas de trabajo
Una Cuenta de AWS ofrece seguridad natural, acceso y límites de facturación para sus recursos de AWS. El uso de varias cuentas tiene sus ventajas, ya que permite distribuir las cuotas de nivel de cuenta y los límites de tasa de solicitudes de API, además de las ventajas adicionales que se enumeran a continuación. Se recomienda utilizar varias cuentas básicas de toda la organización, como cuentas de seguridad, registro e infraestructura. En el caso de las cuentas de carga de trabajo, debe separar las cargas de trabajo de producción de las cargas de trabajo de comprobación o desarrollo en cuentas independientes.
Administración de costos y servicio
Habilitar los servicios de AWS en el nivel de la organización mediante la consola de servicios o las operaciones de la API o de la CLI
Como práctica recomendada, se sugiere habilitar o deshabilitar cualquier servicio con el que quiera integrarse en AWS Organizations con la consola de ese servicio, las operaciones de la API o los equivalentes de comandos de la CLI. Con este método, el servicio de AWS puede llevar a cabo todos los pasos de inicialización necesarios para su organización, como crear los recursos necesarios y eliminar recursos al deshabilitar el servicio. AWS Account Management es el único servicio que requiere el uso de la consola de AWS Organizations o las API para habilitarlo. Para revisar la lista de servicios con los que se integra AWS Organizations, consulte Servicios de AWS que puedes usar con AWS Organizations.
Utilizar las herramientas de facturación para realizar un seguimiento de los costos y optimizar el uso de los recursos
Al administrar una organización, recibe una factura consolidada que cubre todos los cargos de las cuentas de su organización. Para los usuarios empresariales que necesiten acceder a la visibilidad de los costes, puede proporcionar una función en la cuenta de administración con permisos restringidos de solo lectura para revisar las herramientas de facturación y costos. Por ejemplo, puede crear un conjunto de permisos que proporcione acceso a los informes de facturación o utilizar el AWS Cost Explorer Service (una herramienta de visualización de tendencias de los costos a lo largo del tiempo) y servicios rentables, como Lente de almacenamiento de Amazon S3
Planificar la estrategia de etiquetado y la aplicación de las etiquetas en todos los recursos de la organización
A medida que las cuentas y cargas de trabajo aumentan, las etiquetas pueden ser una característica útil para el seguimiento de costos, el control de acceso y la organización de los recursos. Para las estrategias de etiquetado y nomenclatura, siga las instrucciones que se indican en Tagging your AWS resources. Además de los recursos, puede crear etiquetas en la raíz de la organización, las cuentas, las unidades organizativas y las políticas. Consulte la sección Building your tagging strategy para obtener más información.
