

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Práticas recomendadas para a conta gerencial
<a name="orgs_best-practices_mgmt-acct"></a>

Siga estas recomendações para ajudar a proteger a segurança da conta gerencial no AWS Organizations. Essas recomendações pressupõem que você também siga as[ práticas recomendadas de uso do usuário-raiz somente para as tarefas que realmente o exigem](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

**Topics**
+ [Limitar quem tem acesso à conta gerencial](#bp_mgmt-acct_limit-access)
+ [Revisar e controlar quem tem acesso](#bp_mgmt-acct_review-access)
+ [Use a conta gerencial somente para tarefas que ***exijam*** a conta gerencial](#bp_mgmt-acct_use-mgmt)
+ [Evite implantar workloads na conta gerencial da organização](#bp_mgmt-acct_avoid-deploying)
+ [Delegar responsabilidades fora da conta gerencial para descentralização](#bp_mgmt-acct_)

## Limitar quem tem acesso à conta gerencial
<a name="bp_mgmt-acct_limit-access"></a>

A conta de gerenciamento é fundamental para todas as tarefas administrativas mencionadas, como gerenciamento de contas, políticas, integração com outros AWS serviços, faturamento consolidado e assim por diante. Portanto, você deve restringir e limitar o acesso à conta gerencial somente para os usuários administradores que precisam de direitos para fazer alterações na organização. 

## Revisar e controlar quem tem acesso
<a name="bp_mgmt-acct_review-access"></a>

Para garantir a manutenção do acesso à conta gerencial, revise periodicamente quem em sua empresa tem acesso ao endereço de e-mail, senha, MFA e número de telefone associados a ela. Alinhe sua revisão com os procedimentos existentes da empresa. Adicione uma revisão mensal ou trimestral dessas informações para verificar se apenas as pessoas corretas têm acesso. Certifique-se de que o processo para recuperar ou redefinir o acesso às credenciais do usuário-raiz não dependa de nenhum indivíduo específico para ser concluído. Todos os processos devem levar em conta a possibilidade de pessoas estarem indisponíveis.

## Use a conta gerencial somente para tarefas que ***exijam*** a conta gerencial
<a name="bp_mgmt-acct_use-mgmt"></a>

Recomendamos usar a conta gerencial e seus usuários e perfis somente para as tarefas que só podem ser executadas por essa conta. Armazene todos os seus AWS recursos Contas da AWS em outras partes da organização e mantenha-os fora da conta de gerenciamento. Um motivo importante para manter seus recursos em outras contas é porque as políticas de controle de serviços (SCPs) da Organizations não funcionam para restringir nenhum usuário ou função na conta de gerenciamento. Separar seus recursos da conta gerencial também ajuda a entender os lançamentos em suas faturas.

Para obter uma lista de tarefas que devem ser chamadas da conta gerencial, consulte [Operations you can call from only the organization's management account ](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account).

## Evite implantar workloads na conta gerencial da organização
<a name="bp_mgmt-acct_avoid-deploying"></a>

As operações privilegiadas podem ser realizadas na conta de gerenciamento de uma organização e SCPs não se aplicam à conta de gerenciamento. É por isso que você deve limitar os recursos e dados da nuvem contidos na conta gerencial somente àqueles que devem ser gerenciados nessa conta. 

## Delegar responsabilidades fora da conta gerencial para descentralização
<a name="bp_mgmt-acct_"></a>

Sempre que possível, recomendamos delegar responsabilidades e serviços fora da conta gerencial. Forneça às suas equipes permissões em suas próprias contas para gerenciar as necessidades da organização para que não seja necessário acessar a conta gerencial. Além disso, você pode registrar vários administradores delegados para serviços que oferecem suporte a essa funcionalidade, como compartilhamento AWS Service Catalog de software em toda a organização ou criação e implantação CloudFormation StackSets de pilhas.

Para obter mais informações, consulte [Arquitetura de referência de segurança](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [Organizando seu AWS ambiente usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) e [Serviços da AWS que você pode usar com AWS Organizations](orgs_integrate_services_list.md) sugestões sobre como registrar contas de membros como administrador delegado para vários AWS serviços.

Para obter mais informações sobre como configurar administradores delegados, consulte [Habilitar uma conta de administrador delegado para o  AWS Gerenciamento de contas](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) e [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).