# SEC01-BP02 保護 AWS 帳戶
<a name="sec_securely_operate_aws_account"></a>

在多個層面保護 AWS 帳戶，包括保護 (而非使用 [根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html))，以及使您的聯絡資訊保持在最新狀態。您可以使用 [AWS Organizations](https://aws.amazon.com/organizations/) ，在 AWS 中的工作負載增長和擴展時，集中管理和管控您的帳戶。AWS Organizations 可協助您跨帳戶管理帳戶、設定控制及設定服務。

 **若未建立此最佳實務，暴露的風險等級：** 高

## 實作指引
<a name="implementation-guidance"></a>
+  使用 AWS Organizations：使用 AWS Organizations 為多個 AWS 帳戶集中強制執行策略型管理。 
  +  [AWS Organizations 入門](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [如何使用服務控制政策在 AWS Organizations 中的各個帳戶之間設定許可防護機制 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  限制 AWS 根使用者的使用：僅使用根使用者來執行特別需要的任務。
  + [ 需要 AWS 帳戶根使用者憑證的 AWS 任務 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  針對根使用者啟用多重因素認證 (MFA)：如果 AWS Organizations 未為您管理根使用者，請在 AWS 帳戶 根使用者上啟用 MFA。
  +  [根使用者 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  定期變更根使用者密碼：變更根使用者密碼可降低使用已儲存密碼的風險。如果您沒有使用 AWS Organizations，而且任何人都有實體存取權，則尤為重要。
  + [ 變更 AWS 帳戶根使用者密碼 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  使用 AWS 帳戶根使用者時發出通知：收到通知會自動降低風險。
  + [ 如何在使用 AWS 帳戶的根存取金鑰時接收通知 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  限制對新增區域的存取：對於新的 AWS 區域，IAM 資源 (例如使用者和角色) 只會傳播到您啟用的區域。
  + [ 設定權限以為即將推出的 AWS 區域啟用帳戶 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  考慮 AWS CloudFormation StackSets：CloudFormation StackSets 可用於將資源 (包括 IAM 政策、角色和群組) 從核可的範本部署到不同的 AWS 帳戶和區域中。
  + [ 使用 CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 安全稽核指導方針 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 最佳實務 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [安全公告 ](https://aws.amazon.com/security/security-bulletins/)

 **相關影片：** 
+ [ 透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s)
+ [ 以 Well-Architected 方式提供安全最佳實務 ](https://youtu.be/u6BCVkXkPnM)

 **相關範例：** 
+ [ 實驗室：AWS 帳戶 和根使用者 ](https://youtu.be/u6BCVkXkPnM)