As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas para ambiente com várias contas
Siga estas recomendações para obter ajuda para configurar e gerenciar um ambiente com várias contas no AWS Organizations.
Conta e credenciais
Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros
Recomendamos que você habilite o gerenciamento de acesso raiz para ajudar a monitorar e remover as credenciais de usuário-raiz das contas de membros. O gerenciamento do acesso raiz impede a recuperação das credenciais do usuário-raiz, melhorando a segurança da conta em sua organização.
Remova as credenciais do usuário-raiz das contas de membros para impedir o login como usuário-raiz Isso também evita que contas de membros recuperem o usuário-raiz.
Considere uma sessão privilegiada para realizar as seguintes tarefas nas contas dos membros:
Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.
Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.
Permita que uma conta de membro recupere suas credenciais de usuário-raiz. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá redefinir a senha do usuário-raiz e fazer login no usuário-raiz da conta de membro.
Após a ativação do gerenciamento de acesso raiz, as contas de membros recém-criadas são seguras por padrão, não possuindo credenciais de usuário-raiz, o que elimina a necessidade de segurança adicional, como MFA após o provisionamento.
Consulte mais informações em Centralizar credenciais de usuário-raiz para contas de membros no Guia do usuário do AWS Identity and Access Management.
Mantenha o número de telefone de contato atualizado
Para recuperar o acesso à sua Conta da AWS, é crucial ter um número de telefone de contato válido e ativo que permita receber mensagens de texto ou chamadas. Recomendamos usar um número de telefone dedicado para garantir que a AWS possa entrar em contato com você para fins de suporte e recuperação da conta. Você pode visualizar e gerenciar facilmente os números de telefone da sua conta via Console de gerenciamento da AWS ou por meio das APIs de gerenciamento de contas.
Existem várias maneiras de obter um número de telefone dedicado que garanta que a AWS possa entrar em contato com você. É altamente recomendável obter um cartão SIM dedicado e um telefone físico. Armazene o telefone e o SIM em segurança a longo prazo para garantir que o número de telefone permaneça sempre disponível para recuperação da conta. Certifique-se também de que a equipe responsável pela conta de telefonia celular entenda a importância desse número, mesmo que ele permaneça inativo por longos períodos. É essencial manter esse número de telefone confidencial em sua organização para garantir proteção adicional.
Documente o número de telefone na página do console de Informações de contato da AWS e compartilhe seus detalhes com as equipes específicas em sua organização que precisam conhecê-lo. Essa abordagem ajuda a minimizar o risco associado à transferência do número de telefone para um SIM diferente. Armazene o telefone de acordo com sua política de segurança de informações existente. Porém, não armazene o telefone no mesmo local que as outras informações de credenciais relacionadas. Qualquer acesso ao telefone ou a seu local de armazenamento deve ser registrado e monitorado. Se o número de telefone associado a uma conta mudar, implemente processos para atualizar o número de telefone em sua documentação existente.
Usar um endereço de e-mail de grupo contas raiz
Use um endereço de e-mail gerenciado pela sua empresa. Use um endereço de e-mail que encaminhe as mensagens recebidas diretamente para um grupo de usuários. Caso a AWS precise entrar em contato com o proprietário da conta, por exemplo, para confirmar o acesso, a mensagem de e-mail será distribuída para várias partes. Essa abordagem ajuda a reduzir o risco de atrasos na resposta, mesmo que as pessoas estejam de férias, estejam doentes ou deixem a empresa.
Estrutura organizacional e workloads
Gerenciar suas contas em uma única organização
Recomendamos criar uma única organização e gerenciar todas as suas contas nessa organização. Uma organização é um limite de segurança que permite manter a consistência entre contas em seu ambiente. Você pode aplicar centralmente políticas ou configurações de nível de serviço em todas as contas de uma organização. Se você deseja habilitar políticas consistentes, visibilidade central e controles programáticos em seu ambiente de várias contas, a melhor forma de fazer isso é com uma única organização.
Agrupar workloads com base na finalidade comercial e não na estrutura hierárquica
Recomendamos isolar os ambientes e dados de workloads de produção em suas OUs de nível superior orientadas a workloads. Suas OUs devem se basear em um conjunto comum de controles, em vez de espelhar a estrutura hierárquica da empresa. Além das OUs de produção, recomendamos definir uma ou mais OUs de não produção que contenham contas e ambientes de workload usados para desenvolver e testar workloads. Para obter orientação adicional, consulte Organizar OUs orientadas a workloads.
Use várias contas para organizar suas workloads
Uma Conta da AWS fornece segurança natural, acesso e limites de cobrança para seus recursos da AWS. Usar várias contas oferece algumas vantagens, pois permite distribuir cotas em nível de conta e limites de taxa de solicitação de API, além de benefícios adicionais listados aqui. Recomendamos usar contas básicas organizacionais diferentes, como contas para segurança, log e infraestrutura. Para contas de workload, é necessário separar as workloads de produção das workloads de teste/desenvolvimento em contas diferentes.
Serviços e gerenciamento de custos
Habilite serviços da AWS no nível organizacional usando o console de serviço ou operações de API/CLI
Como prática recomendada, sugerimos habilitar ou desabilitar todos os serviços aos quais você gostaria de integrar ao AWS Organizations usando o console desse serviço ou os equivalentes de comando da CLI e operações de API/CLI. Com esse método, o serviço da AWS pode executar todas as etapas de inicialização necessárias para sua organização, como criar recursos necessários e limpar os recursos ao desabilitar o serviço. O AWS Gerenciamento de contas é o único serviço que requer o uso do console ou das APIs do AWS Organizations para ser habilitado. Para revisar a lista de serviços integrados ao AWS Organizations, consulte Serviços da AWS que você pode usar com AWS Organizations.
Usar ferramentas de faturamento para monitorar custos e otimizar o uso de recursos
Ao gerenciar uma organização, você recebe uma fatura consolidada que cobre todas as cobranças das contas em sua organização. Para usuários corporativos que precisam de acesso à visibilidade dos custos, é possível fornecer um perfil na conta gerencial com permissões restritas de somente leitura para revisar as ferramentas de faturamento e custo. Por exemplo, você pode criar um conjunto de permissões que forneça acesso aos relatórios de faturamento ou usar o AWS Cost Explorer Service (uma ferramenta para visualizar tendências de custo ao longo do tempo) e serviços economicamente eficientes, como o Amazon S3 Storage Lens
Planeje a estratégia de marcação e a aplicação de tags em todos os recursos da sua organização
À medida que suas contas e workloads aumentam, as tags podem ser um recurso útil para controlar os custos, o controle de acesso e a organização de recursos. Para estratégias de nomenclatura de tags, siga as orientações em Como marcar seus recursos da AWS. Além dos recursos, você pode criar tags na raiz e nas contas, OUs e políticas da organização. Consulte Criar sua estratégia de tags para obter informações adicionais.
