本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 成员账户的最佳实践
<a name="orgs_best-practices_member-acct"></a>

请遵循以下建议，以帮助保护组织中成员账户的安全。这些建议假定您还遵守[仅将根用户用于真正需要它的任务的最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。

**Topics**
+ [定义账户名称和属性](#bp_member-acct_define-acct)
+ [高效扩展环境和使用账户](#bp_member-acct_efficiently-scale)
+ [启用根访问权限管理，简化成员账户的根用户凭证管理](#bp_member-acct_root-access-management)

## 定义账户名称和属性
<a name="bp_member-acct_define-acct"></a>

对于成员账户，请使用反映账户使用情况的命名结构和电子邮件地址。例如，`Workloads+fooA+dev@domain.com` 可用于 `WorkloadsFooADev`，`Workloads+fooB+dev@domain.com` 可用于 `WorkloadsFooBDev`。如果您为组织定义了自定义标签，我们建议您根据账户使用情况、成本中心、环境和项目，来为账户分配这些标签。这样可以更轻松地识别、整理和搜索账户。

## 高效扩展环境和使用账户
<a name="bp_member-acct_efficiently-scale"></a>

在扩大规模时，在创建新账户之前，请确保尚不存在满足类似需求的账户，以避免不必要的重复。 AWS 账户 应基于共同的访问要求。如果您计划回收利用某些账户（例如沙盒账户或等效账户），我们建议您清理账户中不需要的资源或工作负载，但保存这些账户以备将来使用。

在注销账户之前，请注意账户注销限额限制。有关更多信息，请参阅 [的配额和服务限制 AWS Organizations](orgs_reference_limits.md)。考虑实施清理流程以回收利用账户，而不是尽可能注销账户和创建新账户。这样，您就可以避免因运行资源和达到 [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) 限制而产生成本。

## 启用根访问权限管理，简化成员账户的根用户凭证管理
<a name="bp_member-acct_root-access-management"></a>

建议您启用根访问权限管理，帮助监控和移除成员账户的根用户凭证。根访问权限管理可防止恢复根用户凭证，从而提高组织中的账户安全性。
+ 移除成员账户的根用户凭证，以防止登录到根用户。这也能防止成员账户恢复根用户。
+ 假设特权会话对成员账户执行以下任务：
  + 删除一项配置错误的存储桶策略，此策略拒绝所有主体访问 Amazon S3 存储桶策略。
  + 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
  + 允许成员账户恢复其根用户凭证。有权访问该成员账户根用户电子邮件收件箱的人可以重置根用户密码，并以成员账户根用户身份登录。

启用根访问管理后，新创建的成员账户将没有根用户证书，这样就无需在配置后提供额外的安全保护，例如MFA。 secure-by-default

有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的[集中成员账户的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。

### 使用 SCP 限制成员账户中的根用户可以执行的操作
<a name="bp_member-acct_use-scp"></a>

我们建议您在组织中创建服务控制策略（SCP）并将其附加到组织的根，以便将其应用于所有成员账户。有关更多信息，请参阅[保护 Organizations 账户根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)。

除必须在成员账户中执行的特定仅限根操作外，您可以拒绝所有根操作。例如，以下 SCP 可防止任何成员账户中的根用户进行任何 AWS 服务 API 调用，但 “更新配置错误的 S3 存储桶策略并拒绝所有委托人访问权限”（需要根凭证的操作之一）除外。有关更多信息，请参阅《*IAM 用户指南*》中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

在大多数情况下，任何管理任务都可以由成员账户中具有相关管理员权限的 AWS Identity and Access Management （IAM）角色执行。对于任何此类角色，都应使用适当的控件来限制、记录和监控其活动。