Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le compte de gestion, l'accès sécurisé et les administrateurs délégués
| Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
Le compte de gestion (également appelé compte de gestion de l' AWS organisation ou compte de gestion de l'organisation) est unique et différencié de tous les autres comptes de AWS Organizations. C'est le compte qui crée l' AWS organisation. À partir de ce compte, vous pouvez créer des comptes Comptes AWS au AWS sein de l'organisation, inviter d'autres comptes existants à rejoindre l' AWS organisation (les deux types sont considérés comme des comptes membres), supprimer des comptes de l' AWS organisation et appliquer des politiques IAM à la racine ou à des comptes au sein de l' AWS organisation. OUs
Le compte de gestion déploie des garde-fous de sécurité universels par le biais SCPs de déploiements de services (tels que CloudTrail) qui affecteront tous les comptes membres de l'organisation. RCPs AWS Pour restreindre davantage les autorisations dans le compte de gestion, ces autorisations peuvent être déléguées à un autre compte approprié, tel qu'un compte de sécurité, dans la mesure du possible.
Le compte de gestion possède les responsabilités d'un compte souscripteur et est responsable du paiement de tous les frais accumulés par les comptes membres. Vous ne pouvez pas changer de compte de gestion d'une AWS organisation. An Compte AWS ne peut être membre que d'une seule AWS organisation à la fois.
En raison des fonctionnalités et de l'étendue de l'influence du compte de gestion, nous vous recommandons de limiter l'accès à ce compte et d'accorder des autorisations uniquement aux rôles qui en ont besoin. Les deux fonctionnalités qui vous y aident sont l'accès sécurisé et l'administrateur délégué. Vous pouvez utiliser l'accès sécurisé pour activer un service Service AWS que vous spécifiez, appelé service sécurisé, pour effectuer des tâches dans votre AWS organisation et ses comptes en votre nom. Cela implique l'octroi d'autorisations au service approuvé mais n'affecte pas par ailleurs les autorisations pour les utilisateurs et les rôles IAM. Vous pouvez utiliser l'accès sécurisé pour spécifier les paramètres et les détails de configuration que vous souhaitez que le service sécurisé conserve en votre nom dans les comptes de votre AWS organisation. Par exemple, la section relative au compte de gestion de l'organisation de la AWS SRA explique comment accorder au CloudTrail service un accès sécurisé afin de créer un suivi de CloudTrail l'organisation dans tous les comptes de votre AWS organisation.
Certains Services AWS prennent en charge la fonctionnalité d'administrateur délégué dans AWS Organizations. Grâce à cette fonctionnalité, les services compatibles peuvent enregistrer un compte de AWS membre dans l' AWS organisation en tant qu'administrateur des comptes de AWS l'organisation dans ce service. Cette fonctionnalité permet aux différentes équipes de votre entreprise d'utiliser des comptes distincts, en fonction de leurs responsabilités, pour gérer l' Services AWS ensemble de l'environnement. Les services AWS de sécurité de la AWS SRA qui prennent actuellement en charge l'administrateur délégué incluent IAM Identity Center, AWS Config, AWS Firewall Manager Amazon GuardDuty, IAM Access Analyzer, Amazon Macie, AWS Security Hub Cloud Security Posture Management (), Amazon Detective,AWS Security Hub CSPM Amazon AWS Audit Manager Inspector et. AWS Systems Manager L'utilisation de la fonctionnalité d'administrateur délégué est soulignée dans la AWS SRA en tant que meilleure pratique, et nous déléguons l'administration des services liés à la sécurité au compte Security Tooling.
