# SEC01-BP02 保护 AWS 账户
<a name="sec_securely_operate_aws_account"></a>

您的 AWS 账户可以通过很多方法进行保护，包括保护 [根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)且不使用它，并及时更新联系人信息。随着您的工作负载增长和扩展，您可以使用 [AWS Organizations](https://aws.amazon.com/organizations/) 集中管理和控制您在 AWS 中的账户。AWS Organizations 可以帮助您管理账户、设置控制以及跨账户配置服务。

 **未建立此最佳实践暴露的风险等级：** 高

## 实施指导
<a name="implementation-guidance"></a>
+  使用 AWS Organizations：使用 AWS Organizations 集中实现针对多个 AWS 账户的基于策略的管理。 
  +  [开始使用 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [如何使用服务控制策略来设置您在 AWS Organization 中的跨账户权限防护机制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  限制 AWS 根用户的使用：只使用根用户执行明确需要根用户的任务。
  + [ 需要 AWS 账户根用户凭证的 AWS 任务 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  为根用户启用多重身份验证（MFA）：如果没有使用 AWS Organizations 为您管理根用户，请在 AWS 账户根用户上启用 MFA。
  +  [根用户 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  定期更改根用户密码：更改根用户密码可降低使用已保存的密码的风险。如果您未使用 AWS Organizations 且有其他人具有物理访问权限，那么这一点尤为重要。
  + [ 更改 AWS 账户根用户密码 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  使用 AWS 账户根用户时启用通知：自动接收通知可降低风险。
  + [ 如何在 AWS 账户的根访问密钥被使用时接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  限制对新添加的区域的访问：对于新的 AWS 区域，诸如用户和角色之类的 IAM 资源将仅传播到您启用的区域。
  + [ 设置权限，为即将推出的 AWS 区域启用账户 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  考虑使用 AWS CloudFormation StackSets：CloudFormation StackSets 可用于通过已批准的模板将资源（包括 IAM 策略、角色和组）部署到不同的 AWS 账户和区域中。
  + [ 使用 CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## 资源
<a name="resources"></a>

 **相关文档：** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全性审计指导原则 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 最佳实践 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [安全公告 ](https://aws.amazon.com/security/security-bulletins/)

 **相关视频：** 
+ [ 利用自动化和监管，支持大规模采用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [ 架构完善的安全性最佳实践 ](https://youtu.be/u6BCVkXkPnM)

 **相关示例：** 
+ [ 实验室：AWS 账户和根用户 ](https://youtu.be/u6BCVkXkPnM)