Prácticas recomendadas para cuentas de miembros - AWS Organizations
Definir el nombre y los atributos de la cuentaAmpliar el entorno y el uso de la cuenta de manera eficienteHabilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para cuentas de miembros

Siga estas recomendaciones para proteger la seguridad de las cuentas de los miembros de su organización. Estas recomendaciones suponen que también se adhiere a las Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran.

Definir el nombre y los atributos de la cuenta

En el caso de las cuentas de los miembros, utilice una estructura de nombres y una dirección de correo electrónico que reflejen el uso de la cuenta. Por ejemplo, Workloads+fooA+dev@domain.com para WorkloadsFooADev, Workloads+fooB+dev@domain.com para WorkloadsFooBDev. Si ha definido etiquetas personalizadas para su organización, se recomienda que asigne esas etiquetas a las cuentas que reflejen el uso de la cuenta, el centro de costos, el entorno y el proyecto. Esto facilita la identificación, organización y búsqueda de las cuentas.

Ampliar el entorno y el uso de la cuenta de manera eficiente

A medida que vaya escalando, antes de crear cuentas nuevas, asegúrese de que no existan ya cuentas para necesidades similares, a fin de evitar duplicaciones innecesarias. Cuentas de AWS debe basarse en requisitos de acceso comunes. Si tiene previsto volver a utilizar las cuentas, como una cuenta de entorno aislado o una cuenta equivalente, se recomienda que elimine las cargas de trabajo o los recursos innecesarios de las cuentas, pero que guarde las cuentas para utilizarlas en el futuro.

Antes de cerrar cuentas, tenga en cuenta que están sujetas a los límites de cuota de cierre de cuentas. Para obtener más información, consulte Cuotas y límites de servicio para AWS Organizations. Considere la posibilidad de implementar un proceso de limpieza para reutilizar las cuentas en lugar de cerrarlas y crear otras nuevas cuando sea posible. De esta forma, evitará incurrir en costes derivados de la gestión de los recursos y de alcanzar los límites de las CloseAccount API.

Habilite la administración del acceso raíz para facilitar la administración de las credenciales de usuario raíz de las cuentas de miembros

Recomendamos habilitar la administración del acceso raíz para ayudarlo a supervisar y eliminar las credenciales de los usuarios raíz de las cuentas de miembros. La administración del acceso raíz impide la recuperación de las credenciales de los usuarios raíz, lo que mejora la seguridad de las cuentas en su organización.

  • Elimine las credenciales del usuario raíz de las cuentas de miembros para impedir iniciar sesión en la cuenta de usuario raíz. Esto también impide la recuperación de las cuentas de miembro del usuario raíz.

  • Suponga que tiene una sesión privilegiada para realizar las siguientes tareas en las cuentas de miembros:

    • Elimine una política de bucket mal configurada que impida a todas las entidades principales acceder a un bucket de Amazon S3.

    • Elimine una política basada en recursos de Amazon Simple Queue Service que impida a todas las entidades principales acceder a una cola de Amazon SQS.

    • Permita que la cuenta de miembro recupere sus credenciales de usuario raíz. La persona que tenga acceso a la bandeja de entrada del correo del usuario raíz de la cuenta de miembro podrá entonces seguir los pasos para restablecer la contraseña del usuario raíz e iniciar sesión como el usuario raíz de la cuenta de miembro.

Una vez que se habilita la administración del acceso raíz, las cuentas de los secure-by-default miembros recién creadas no tienen credenciales de usuario raíz, lo que elimina la necesidad de seguridad adicional, como el MFA después del aprovisionamiento.

Para obtener más información, consulte Centralizar el acceso raíz a las cuentas de miembros en la Guía del usuario de AWS Identity and Access Management .

Utilice una SCP para restringir lo que puede hacer el usuario raíz en tus cuentas de miembro

Se recomienda crear una política de control de servicios (SCP) en la organización y adjuntarla al nodo raíz de la organización para que se aplique a todas las cuentas de miembros. Para obtener más información, consulte Proteja las credenciales de usuario raíz de su cuenta de Organizations.

Puede denegar todas las acciones raíz, excepto una acción específica exclusiva para usuarios raíz que debe realizar en su cuenta de miembro. Por ejemplo, el siguiente SCP impide que el usuario root de cualquier cuenta de miembro realice llamadas a la API de AWS servicio, excepto «actualizar una política de bucket de S3 mal configurada y que deniega el acceso a todos los principales» (una de las acciones que requiere credenciales root). Para obtener más información, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

JSON
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }

En la mayoría de las circunstancias, un rol de  AWS Identity and Access Management  (IAM) puede realizar cualquier tarea administrativa en la cuenta de miembro que tiene permisos de administrador pertinentes. Cualquiera de estos roles debe tener controles adecuados implementados que limiten, registren y supervisen la actividad.