As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas para a conta gerencial
Siga estas recomendações para ajudar a proteger a segurança da conta gerencial no AWS Organizations. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.
Tópicos
Limitar quem tem acesso à conta gerencial
A conta gerencial é essencial para todas as tarefas administrativas mencionadas, como gerenciamento de contas, políticas, integração com outros serviços da AWS, faturamento consolidado e assim por diante. Portanto, você deve restringir e limitar o acesso à conta gerencial somente para os usuários administradores que precisam de direitos para fazer alterações na organização.
Revisar e controlar quem tem acesso
Para garantir a manutenção do acesso à conta gerencial, revise periodicamente quem em sua empresa tem acesso ao endereço de e-mail, senha, MFA e número de telefone associados a ela. Alinhe sua revisão com os procedimentos existentes da empresa. Adicione uma revisão mensal ou trimestral dessas informações para verificar se apenas as pessoas corretas têm acesso. Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.
Use a conta gerencial somente para tarefas que exijam a conta gerencial
Recomendamos usar a conta gerencial e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Armazene todos os seus recursos da AWS em outras Contas da AWS da organização e mantenha-os fora da conta gerencial. Um motivo importante para manter seus recursos em outras contas é porque as políticas de controle de serviço (SCPs) do Organizations não funcionam para restringir os usuários ou as funções na conta gerencial. Separar seus recursos da conta gerencial também ajuda a entender os lançamentos em suas faturas.
Para obter uma lista de tarefas que devem ser chamadas da conta gerencial, consulte Operations you can call from only the organization's management account .
Evite implantar workloads na conta gerencial da organização
As operações privilegiadas podem ser executadas na conta gerencial de uma organização, e os SCPs não se aplicam à conta gerencial. É por isso que você deve limitar os recursos e dados da nuvem contidos na conta gerencial somente àqueles que devem ser gerenciados nessa conta.
Delegar responsabilidades fora da conta gerencial para descentralização
Sempre que possível, recomendamos delegar responsabilidades e serviços fora da conta gerencial. Forneça às suas equipes permissões em suas próprias contas para gerenciar as necessidades da organização para que não seja necessário acessar a conta gerencial. Além disso, é possível registrar vários administradores delegados para serviços que oferecem suporte a essa funcionalidade, como o AWS Service Catalog para compartilhar software em toda a organização ou o CloudFormation StackSets para criar e implantar pilhas.
Para obter mais informações, consulte Arquitetura de referência de segurança, Organizar seu ambiente da AWS usando várias contas e Serviços da AWS que você pode usar com AWS Organizations para obter sugestões de como registrar contas de membro como administrador delegado para vários serviços da AWS.
Para obter mais informações sobre como configurar administradores delegados, consulte Habilitar uma conta de administrador delegado para o AWS Gerenciamento de contas e Administrador delegado para AWS Organizations.
