Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akun manajemen, akses tepercaya, dan administrator yang didelegasikan
| Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat |
Akun manajemen (juga disebut akun Manajemen AWS Organisasi atau akun Manajemen Org) unik dan dibedakan dari setiap akun lainnya di AWS Organizations. Ini adalah akun yang menciptakan AWS organisasi. Dari akun ini, Anda dapat membuat Akun AWS di AWS organisasi, mengundang akun lain yang ada ke AWS organisasi (kedua jenis dianggap sebagai akun anggota), menghapus akun dari AWS organisasi, dan menerapkan kebijakan IAM ke root, OUs, atau akun dalam AWS organisasi.
Akun manajemen menyebarkan pagar keamanan universal melalui SCPs, RCPs, dan penyebaran layanan (seperti CloudTrail) yang akan memengaruhi semua akun anggota dalam organisasi. AWS Untuk lebih membatasi izin di akun manajemen, izin tersebut dapat didelegasikan ke akun lain yang sesuai, seperti akun keamanan, jika memungkinkan.
Akun manajemen memiliki tanggung jawab Akun Pembayar dan bertanggung jawab untuk membayar semua biaya yang diperoleh oleh akun anggota. Anda tidak dapat mengganti akun manajemen AWS organisasi. Seorang Akun AWS dapat menjadi anggota hanya satu AWS organisasi pada satu waktu.
Karena fungsionalitas dan ruang lingkup pengaruh yang dimiliki akun manajemen, kami menyarankan Anda membatasi akses ke akun ini dan memberikan izin hanya untuk peran yang membutuhkannya. Dua fitur yang membantu Anda melakukan ini adalah akses tepercaya dan administrator yang didelegasikan. Anda dapat menggunakan akses tepercaya untuk mengaktifkan Layanan AWS yang Anda tentukan, yang disebut layanan tepercaya, untuk melakukan tugas di AWS organisasi Anda dan akunnya atas nama Anda. Ini melibatkan pemberian izin untuk layanan terpercaya tetapi tidak mempengaruhi izin untuk pengguna atau peran IAM. Anda dapat menggunakan akses tepercaya untuk menentukan pengaturan dan detail konfigurasi yang ingin dipertahankan oleh layanan tepercaya di akun AWS organisasi atas nama Anda. Misalnya, bagian akun Manajemen Org di AWS SRA menjelaskan cara memberikan CloudTrail layanan akses tepercaya untuk membuat jejak CloudTrail organisasi di semua akun di AWS organisasi Anda.
Beberapa Layanan AWS mendukung fitur administrator yang didelegasikan di AWS Organizations. Dengan fitur ini, layanan yang kompatibel dapat mendaftarkan akun AWS anggota di AWS organisasi sebagai administrator untuk akun AWS organisasi dalam layanan tersebut. Kemampuan ini memberikan fleksibilitas bagi tim yang berbeda dalam perusahaan Anda untuk menggunakan akun terpisah, yang sesuai dengan tanggung jawab mereka, untuk mengelola Layanan AWS seluruh lingkungan. Layanan AWS keamanan di AWS SRA yang saat ini mendukung administrator yang didelegasikan termasuk IAM Identity Center,,, AWS Firewall Manager Amazon AWS Config, IAM Access GuardDuty Analyzer, Amazon Macie, Cloud Security Posture Management () AWS Security Hub , Amazon Detective AWS Security Hub CSPM, Amazon Inspector, dan. AWS Audit Manager AWS Systems Manager Penggunaan fitur administrator yang didelegasikan ditekankan dalam AWS SRA sebagai praktik terbaik, dan kami mendelegasikan administrasi layanan terkait keamanan ke akun Security Tooling.
