Best practices for member accounts - AWS Organizations
Definir o nome e os atributos da contaEscalar com eficiência o ambiente e o uso da contaHabilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Best practices for member accounts

Siga estas recomendações para ajudar a proteger a segurança das contas membro em sua organização. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.

Definir o nome e os atributos da conta

Para suas contas-membro, use uma estrutura de nomes e um endereço de e-mail que reflita o uso da conta. Por exemplo, Workloads+fooA+dev@domain.com para WorkloadsFooADev, Workloads+fooB+dev@domain.com para WorkloadsFooBDev. Se houver tags personalizadas definidas para sua organização, recomendamos a você atribuir essas tags em contas que reflitam o uso da conta, o centro de custos, o ambiente e o projeto. Isso torna mais fácil identificar, organizar e pesquisar contas.

Escalar com eficiência o ambiente e o uso da conta

Ao escalar, antes de criar novas contas, certifique-se de que ainda não existam contas para necessidades semelhantes, para evitar duplicações desnecessárias. Contas da AWS devem basear-se em requisitos comuns de acesso. Se você planeja reutilizar as contas, como uma conta de sandbox ou equivalente, recomendamos  limpar quaisquer recursos ou workloads desnecessários das contas, mas salve as contas para uso futuro.

Antes de encerrar contas, observe que elas estão sujeitas aos limites de cota de fechamento de contas. Para obter mais informações, consulte Cotas e limites de serviço para AWS Organizations. Considere implementar um processo de limpeza para reutilizar contas em vez de encerrá-las e criar novas quando possível. Dessa forma, você evitará incorrer em custos com a execução de recursos e atingir os limites CloseAccount da API.

Habilite o gerenciamento de acesso raiz para simplificar o gerenciamento das credenciais de usuário-raiz para contas de membros

Recomendamos que você habilite o gerenciamento de acesso raiz para ajudar a monitorar e remover as credenciais de usuário-raiz das contas de membros. O gerenciamento do acesso raiz impede a recuperação das credenciais do usuário-raiz, melhorando a segurança da conta em sua organização.

  • Remova as credenciais do usuário-raiz das contas de membros para impedir o login como usuário-raiz Isso também evita que contas de membros recuperem o usuário-raiz.

  • Considere uma sessão privilegiada para realizar as seguintes tarefas nas contas dos membros:

    • Remova uma política de bucket mal configurada que negue a todas as entidades principais o acesso ao bucket do Amazon S3.

    • Exclua uma política baseada em recursos do Amazon Simple Queue Service que negue a todas as entidade principais acesso a uma fila do Amazon SQS.

    • Permita que uma conta de membro recupere suas credenciais de usuário-raiz. A pessoa com acesso à caixa de entrada de e-mail do usuário-raiz da conta de membro poderá redefinir a senha do usuário-raiz e fazer login no usuário-raiz da conta de membro.

Depois que o gerenciamento do acesso raiz é ativado, as contas de membros recém-criadas não têm secure-by-default credenciais de usuário raiz, o que elimina a necessidade de segurança adicional, como MFA após o provisionamento.

Consulte mais informações em Centralizar credenciais de usuário-raiz para contas de membros no Guia do usuário do AWS Identity and Access Management .

Use um SCP para restringir o que o usuário-raiz de suas contas-membro pode fazer

Recomendamos que você crie uma política de controle de serviço (SCP) na organização e anexe-a à raiz da organização para que ela se aplique a todas as contas-membro. Para obter mais informações, consulte Proteja as credenciais de usuário raiz da conta Organizations.

Você pode negar todas as ações da raiz, exceto uma ação exclusiva à raiz que deve ser executada em sua conta-membro. Por exemplo, o SCP a seguir impede que o usuário raiz em qualquer conta membro faça qualquer chamada de API de AWS serviço, exceto “Atualizar uma política de bucket do S3 que foi configurada incorretamente e nega acesso a todos os principais” (uma das ações que exige credenciais raiz). Para obter mais informações, consulte Tarefas que exigem credenciais de usuário raiz no Guia do usuário do IAM.

JSON
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }

Na maioria das circunstâncias, quaisquer tarefas administrativas podem ser executadas por um perfil do AWS Identity and Access Management (IAM) na conta-membro com as permissões de administrador relevantes. Esses perfis devem ter controles adequados aplicados para limitar, registrar e monitorar atividades.