Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas para la cuenta de administración
Siga estas recomendaciones para ayudar a proteger la seguridad de la cuenta de administración en AWS Organizations. Estas recomendaciones suponen que también se adhiere a las Prácticas recomendadas de utilizar el usuario raíz exclusivamente para aquellas tareas que realmente lo requieran.
Temas
Limitar quién tiene acceso a la cuenta de administración
La cuenta de administración es clave para todas las tareas administrativas mencionadas, como la administración de cuentas, las políticas, la integración con otros servicios de AWS, la facturación consolidada, etc. Por lo tanto, debe restringir y limitar el acceso a la cuenta de administración solo a los usuarios administradores que necesiten derechos para realizar cambios en la organización.
Revisar quién tiene acceso y realizar un seguimiento
Para asegurarse de mantener el acceso a la cuenta de administración, revise periódicamente el personal de su empresa que tiene acceso a la dirección de correo electrónico, contraseña, MFA y número de teléfono asociados a ella. Alinee su revisión con los procedimientos comerciales existentes. Agregue una revisión mensual o trimestral de esta información para asegurarse de que solo las personas correctas tengan acceso. Asegúrese de que el proceso para recuperar o restablecer el acceso a las credenciales del usuario raíz no dependa de que se complete ninguna persona específica. Todos los procesos deben abordar la posibilidad de que las personas no estén disponibles.
Utilice la cuenta de administración solo para tareas que requieren la cuenta de administración
Se recomienda que utilice la cuenta de administración y sus usuarios y roles para tareas que solo puede realizar esa cuenta. Almacene todos sus recursos de AWS en otras Cuentas de AWS en la organización y manténgalos fuera de la cuenta de administración. Una razón importante para mantener los recursos en otras cuentas es porque las políticas de control de servicios (SCP) de Organizations no funcionan para restringir ningún usuario o rol en la cuenta de administración. Separar los recursos de la cuenta de administración también lo ayudará a comprender los cargos de sus facturas.
Para obtener una lista de las tareas a las que se debe llamar desde la cuenta de administración, consulte Operations you can call from only the organization's management account.
Evitar la implementación de cargas de trabajo en la cuenta de administración de la organización
Las operaciones privilegiadas se pueden realizar dentro de la cuenta de administración de una organización y las SCP no se aplican a dicha cuenta. Por eso, debe limitar los recursos y datos de la nube que contenga la cuenta de administración únicamente a los que deben administrarse en esta cuenta.
Delegar responsabilidades fuera de la cuenta de administración para la descentralización
Siempre que sea posible, se recomienda delegar responsabilidades y servicios fuera de la cuenta de administración. Proporcione a sus equipos permisos en sus propias cuentas para administrar las necesidades de la organización sin necesidad de acceder a la cuenta de administración. Además, puede registrar varios administradores delegados para los servicios que admiten esta funcionalidad, como es el caso de AWS Service Catalog, para compartir software en toda la organización o StackSets de CloudFormation para crear e implementar pilas.
Para obtener más información, consulte Security Reference Architecture, Organizar su entorno de AWS con varias cuentas y Servicios de AWS que puedes usar con AWS Organizations para obtener sugerencias sobre cómo registrar las cuentas de los miembros como administradores delegados de varios servicios de AWS.
Para obtener más información sobre la configuración de administradores delegados, consulte Enabling a delegated admin account for AWS Account Management and Administrador delegado para AWS Organizations.
