Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
L'account di gestione, l'accesso affidabile e gli amministratori delegati
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
L'account di gestione (chiamato anche account di gestione dell' AWS organizzazione o account di gestione dell'organizzazione) è unico e diverso da tutti gli altri account. AWS OrganizationsÈ l'account che crea l' AWS organizzazione. Da questo account è possibile creare all' AWS interno dell'organizzazione, invitare altri account esistenti Account AWS nell' AWS organizzazione (entrambi i tipi sono considerati account membro), rimuovere account dall' AWS organizzazione e applicare le politiche IAM alla radice o agli account all'interno dell' AWS organizzazione. OUs
L'account di gestione implementa protezioni di sicurezza universali tramite SCPs implementazioni di servizi (ad esempio CloudTrail) che influiranno su tutti gli account dei membri dell'organizzazione. RCPs AWS Per limitare ulteriormente le autorizzazioni nell'account di gestione, tali autorizzazioni possono essere delegate a un altro account appropriato, ad esempio un account di sicurezza, ove possibile.
L'account di gestione ha le responsabilità di un account di pagamento ed è responsabile del pagamento di tutte le spese sostenute dagli account membri. Non è possibile cambiare l'account di gestione di un' AWS organizzazione. An Account AWS può essere membro di una sola AWS organizzazione alla volta.
A causa della funzionalità e dell'ambito di influenza dell'account di gestione, si consiglia di limitare l'accesso a questo account e di concedere le autorizzazioni solo ai ruoli che le richiedono. Due funzionalità che consentono di eseguire questa operazione sono l'accesso affidabile e l'amministratore delegato. È possibile utilizzare l'accesso affidabile per consentire a un Servizio AWS utente specificato, denominato servizio affidabile, di eseguire attività nell' AWS organizzazione e nei relativi account per conto dell'utente. Ciò comporta la concessione di autorizzazioni per il servizio attendibile, ma in caso contrario non influenza le autorizzazioni per i ruoli o gli utenti IAM. È possibile utilizzare l'accesso affidabile per specificare le impostazioni e i dettagli di configurazione che si desidera che il servizio affidabile mantenga negli account AWS dell'organizzazione per conto dell'utente. Ad esempio, la sezione relativa agli account di gestione dell'organizzazione dell' AWS SRA spiega come concedere al CloudTrail servizio un accesso affidabile per creare un percorso CloudTrail organizzativo in tutti gli account AWS dell'organizzazione.
Alcuni Servizi AWS supportano la funzionalità di amministratore delegato in. AWS Organizations Con questa funzionalità, i servizi compatibili possono registrare un account AWS membro nell' AWS organizzazione come amministratore degli account dell' AWS organizzazione in quel servizio. Questa funzionalità offre ai diversi team dell'azienda la flessibilità necessaria per utilizzare account separati, in base alle rispettive responsabilità, da gestire Servizi AWS in tutto l'ambiente. I servizi AWS di sicurezza dell' AWS SRA che attualmente supportano l'amministratore delegato includono IAM Identity Center,, AWS Firewall Manager Amazon AWS Config, IAM Access Analyzer GuardDuty, Amazon Macie, AWS Security Hub Cloud Security Posture Management (), Amazon Detective,AWS Security Hub CSPM Amazon AWS Audit Manager Inspector e. AWS Systems Manager L'uso della funzionalità di amministratore delegato è enfatizzato nell' AWS SRA come best practice e deleghiamo l'amministrazione dei servizi relativi alla sicurezza all'account Security Tooling.
