As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
A conta de gerenciamento, o acesso confiável e os administradores delegados
| Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa |
A conta de gerenciamento (também chamada de conta de gerenciamento da AWS organização ou conta de gerenciamento da organização) é exclusiva e diferenciada de todas as outras contas em AWS Organizations. É a conta que cria a AWS organização. Nessa conta, você pode criar Contas da AWS na AWS organização, convidar outras contas existentes para a AWS organização (ambos os tipos são considerados contas membros), remover contas da AWS organização e aplicar políticas do IAM à raiz ou às contas dentro da AWS organização. OUs
A conta de gerenciamento implanta proteções de segurança universais por meio SCPs de implantações de serviços (como CloudTrail) que afetarão todas as contas membros da organização. RCPs AWS Para restringir ainda mais as permissões na conta de gerenciamento, essas permissões podem ser delegadas a outra conta apropriada, como uma conta de segurança, sempre que possível.
A conta de gerenciamento tem as responsabilidades de uma conta pagadora e é responsável pelo pagamento de todos as cobranças que são acumuladas pelas contas-membro. Você não pode trocar a conta de gerenciamento de uma AWS organização. Um só Conta da AWS pode ser membro de uma AWS organização por vez.
Devido à funcionalidade e ao escopo de influência que a conta de gerenciamento tem, recomendamos que você limite o acesso a essa conta e conceda permissões somente às funções que precisam delas. Dois recursos que ajudam você a fazer isso são acesso confiável e administrador delegado. Você pode usar o acesso confiável para permitir AWS service (Serviço da AWS) que um que você especifique, chamado de serviço confiável, execute tarefas em sua AWS organização e em suas contas em seu nome. Isso requer a concessão de permissões ao serviço confiável, mas não afeta de outra forma as permissões para usuários ou funções do IAM. Você pode usar o acesso confiável para especificar as configurações e os detalhes de configuração que você gostaria que o serviço confiável mantivesse nas contas da sua AWS organização em seu nome. Por exemplo, a seção de contas de gerenciamento da organização do AWS SRA explica como conceder ao CloudTrail serviço acesso confiável para criar uma trilha CloudTrail organizacional em todas as contas AWS da sua organização.
Alguns Serviços da AWS oferecem suporte ao recurso de administrador delegado no AWS Organizations. Com esse recurso, os serviços compatíveis podem registrar uma conta de AWS membro na AWS organização como administrador das contas da AWS organização nesse serviço. Esse recurso fornece flexibilidade para diferentes equipes em sua empresa usarem contas separadas, conforme apropriado para suas responsabilidades, para gerenciar Serviços da AWS todo o ambiente. Os serviços AWS de segurança no AWS SRA que atualmente oferecem suporte ao administrador delegado incluem o IAM Identity Center,, AWS Config, AWS Firewall Manager Amazon GuardDuty, IAM Access Analyzer, Amazon Macie, AWS Security Hub Cloud Security Posture Management (),AWS Security Hub CSPM Amazon Detective, Amazon Inspector e. AWS Audit Manager AWS Systems Manager O uso do recurso de administrador delegado é enfatizado na AWS SRA como uma prática recomendada, e delegamos a administração de serviços relacionados à segurança à conta do Security Tooling.
