As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas para a conta gerencial
Siga estas recomendações para ajudar a proteger a segurança da conta gerencial no AWS Organizations. Essas recomendações pressupõem que você também siga as práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem.
Tópicos
Limitar quem tem acesso à conta gerencial
A conta de gerenciamento é fundamental para todas as tarefas administrativas mencionadas, como gerenciamento de contas, políticas, integração com outros AWS serviços, faturamento consolidado e assim por diante. Portanto, você deve restringir e limitar o acesso à conta gerencial somente para os usuários administradores que precisam de direitos para fazer alterações na organização.
Revisar e controlar quem tem acesso
Para garantir a manutenção do acesso à conta gerencial, revise periodicamente quem em sua empresa tem acesso ao endereço de e-mail, senha, MFA e número de telefone associados a ela. Alinhe sua revisão com os procedimentos existentes da empresa. Adicione uma revisão mensal ou trimestral dessas informações para verificar se apenas as pessoas corretas têm acesso. Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.
Use a conta gerencial somente para tarefas que exijam a conta gerencial
Recomendamos usar a conta gerencial e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Armazene todos os seus AWS recursos Contas da AWS em outras partes da organização e mantenha-os fora da conta de gerenciamento. Um motivo importante para manter seus recursos em outras contas é porque as políticas de controle de serviços (SCPs) da Organizations não funcionam para restringir nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da conta gerencial também ajuda a entender os lançamentos em suas faturas.
Para obter uma lista de tarefas que devem ser chamadas da conta gerencial, consulte Operations you can call from only the organization's management account .
Evite implantar workloads na conta gerencial da organização
As operações privilegiadas podem ser realizadas na conta de gerenciamento de uma organização e SCPs não se aplicam à conta de gerenciamento. É por isso que você deve limitar os recursos e dados da nuvem contidos na conta gerencial somente àqueles que devem ser gerenciados nessa conta.
Delegar responsabilidades fora da conta gerencial para descentralização
Sempre que possível, recomendamos delegar responsabilidades e serviços fora da conta gerencial. Forneça às suas equipes permissões em suas próprias contas para gerenciar as necessidades da organização para que não seja necessário acessar a conta gerencial. Além disso, você pode registrar vários administradores delegados para serviços que oferecem suporte a essa funcionalidade, como compartilhamento AWS Service Catalog de software em toda a organização ou criação e implantação CloudFormation StackSets de pilhas.
Para obter mais informações, consulte Arquitetura de referência de segurança, Organizando seu AWS ambiente usando várias contas e Serviços da AWS que você pode usar com AWS Organizations sugestões sobre como registrar contas de membros como administrador delegado para vários AWS serviços.
Para obter mais informações sobre como configurar administradores delegados, consulte Habilitar uma conta de administrador delegado para o AWS Gerenciamento de contas e Administrador delegado para AWS Organizations.
