Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La cuenta de administración, el acceso de confianza y los administradores delegados
| Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta |
La cuenta de administración (también llamada cuenta de administración de la AWS organización o cuenta de administración de la organización) es única y se diferencia de todas las demás cuentas existentes. AWS Organizations Es la cuenta que crea la AWS organización. Desde esta cuenta, puede crear cuentas Cuentas de AWS en la AWS organización, invitar a otras cuentas existentes a la AWS organización (ambos tipos se consideran cuentas de miembros), eliminar cuentas de la AWS organización y aplicar las políticas de IAM a la raíz o a las cuentas de la AWS organización. OUs
La cuenta de administración implementa barreras de seguridad universales y despliegues de servicios (por SCPs ejemplo CloudTrail) que afectarán a todas las cuentas de los miembros de la organización. RCPs AWS Para restringir aún más los permisos en la cuenta de administración, esos permisos se pueden delegar a otra cuenta adecuada, como una cuenta de seguridad, siempre que sea posible.
La cuenta de administración tiene las responsabilidades de una cuenta de pago y es responsable de todos los cargos devengados por las cuentas miembro. No puede cambiar la cuenta de administración de una AWS organización. Un solo Cuenta de AWS puede ser miembro de una AWS organización a la vez.
Debido a la funcionalidad y el alcance de la influencia que tiene la cuenta de administración, le recomendamos que limite el acceso a esta cuenta y conceda permisos solo a los roles que los necesiten. Dos funciones que le ayudan a hacerlo son el acceso confiable y el administrador delegado. Puede utilizar el acceso de confianza para permitir Servicio de AWS que un servicio que especifique, denominado servicio de confianza, realice tareas en su AWS organización y sus cuentas en su nombre. Esto implica la concesión de permisos al servicio de confianza, pero no afecta de ninguna otra manera a los permisos para los usuarios o roles de IAM. Puede usar el acceso de confianza para especificar los ajustes y los detalles de configuración que desea que el servicio de confianza mantenga en las cuentas de su AWS organización en su nombre. Por ejemplo, en la sección de cuentas de administración de la organización de la AWS SRA se explica cómo conceder al CloudTrail servicio un acceso confiable para crear un registro CloudTrail organizativo en todas las cuentas de AWS la organización.
Algunas Servicios de AWS admiten la función de administrador delegado en. AWS Organizations Con esta función, los servicios compatibles pueden registrar una cuenta de AWS miembro en la AWS organización como administrador de las cuentas de la AWS organización en ese servicio. Esta capacidad proporciona flexibilidad a los distintos equipos de la empresa para que utilicen cuentas independientes, según corresponda a sus responsabilidades, y las administren Servicios de AWS en todo el entorno. Los servicios de AWS seguridad de la AWS SRA que actualmente admiten el administrador delegado incluyen IAM Identity Center, AWS Firewall Manager Amazon AWS Config, IAM Access GuardDuty Analyzer, Amazon Macie, Cloud Security Posture Management () AWS Security Hub , Amazon Detective AWS Security Hub CSPM, AWS Audit Manager Amazon Inspector y. AWS Systems Manager La AWS SRA hace hincapié en el uso de la función de administrador delegado como práctica recomendada, y delegamos la administración de los servicios relacionados con la seguridad en la cuenta Security Tooling.
