# AWS 帳戶管理和區隔
<a name="aws-account-management-and-separation"></a>

我們建議您根據功能、合規需求或一組常用的控制項，將個別帳戶和群組帳戶中的工作負載分門別類，而不要複製組織的報告結構。在 AWS 中，帳戶是硬性界限。例如，強烈建議進行帳戶層級的區隔，以便將生產工作負載與開發和測試工作負載隔離。

 **集中管理帳戶︰**AWS Organizations 可[自動建立和管理 AWS 帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)，並在建立帳戶之後控制這些帳戶。當您透過 AWS Organizations 建立帳戶時，請務必考量所使用的電子郵件地址，因為這會允許重設密碼的根使用者。Organizations 可讓您將帳戶分組為 [組織單位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)，這些單位可根據工作負載的需求和用途代表不同的環境。

 **集中設定控制：**僅允許適當層級的特定服務、區域和服務動作，以控制您的 AWS 帳戶可以執行的操作。AWS Organizations 可讓您使用服務控制政策 (SCP) 在組織、組織單位或帳戶層級套用許可防護機制，這適用於所有 [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) 使用者和角色。例如，您可以套用 SCP，限制使用者在您未明確允許的區域中啟動資源。AWS Control Tower 提供一種簡化的方式來設定和管控多個帳戶。它會自動設定 AWS Organization 中的帳戶、自動化佈建、套用[防護機制](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) (包括預防和偵測)，以及為您提供可見性的儀表板。

 **集中設定服務和資源︰**AWS Organizations 可協助您設定適用於所有帳戶的 [AWS 服務](https://aws.amazon.com/organizations/features/)。例如，您可以使用 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)，為組織內執行的所有動作設定集中日誌記錄，並阻止成員帳戶停用日誌記錄。此外，您還可以集中彙總使用 [AWS Config](https://aws.amazon.com/config/) 定義的規則資料，讓您能夠稽核工作負載的合規性，並快速對變更做出反應。AWS CloudFormation[StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) 可讓您跨帳戶和組織單位集中管理組織中的 AWS CloudFormation 堆疊。這讓您能夠自動佈建新帳戶以符合您的安全需求。

使用安全服務的委託管理功能將用於管理的帳戶與組織計費 (管理) 帳戶分開。數個 AWS 服務 (例如 GuardDuty、Security Hub 和 AWS Config) 支援與 AWS Organizations 的整合，包括為管理功能指定特定帳戶。

**Topics**
+ [SEC01-BP01 使用帳戶區隔工作負載](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 保護帳戶根使用者和屬性](sec_securely_operate_aws_account.md)

# SEC01-BP01 使用帳戶區隔工作負載
<a name="sec_securely_operate_multi_accounts"></a>

 透過多帳戶策略在環境 (例如生產、開發和測試) 與工作負載之間建立共通的防護機制和隔離。強烈建議帳戶層級的區隔，因為這在安全性、帳單和存取方面提供了有力的隔離界限。

**預期成果：**一種帳戶結構，可將雲端作業、不相關的工作負載和環境隔離為單獨的帳戶，從而提高整個雲端基礎設施的安全性。

**常見的反模式：**
+  將多個具有不同資料敏感度等級且不相關的工作負載置於相同的帳戶中。
+  定義不良的組織單位 (OU) 結構。

**建立此最佳實務的優勢：**
+  若工作負載遭到意外存取，縮小影響範圍。
+  集中管控對 AWS 服務、資源和區域的存取。
+  利用政策以及集中管理安全服務，維護雲端基礎設施的安全性。
+  自動化帳戶建立和維護流程。
+  集中稽核您的基礎設施以滿足合規性和法規需求。

 **未建立此最佳實務時的風險暴露等級**：高 

## 實作指引
<a name="implementation-guidance"></a>

 AWS 帳戶 在以不同的敏感度等級操作的工作負載或資源之間提供安全隔離界限。AWS 提供工具透過多帳戶策略大規模管理您的雲端工作負載，以利用此隔離界限。如需有關 AWS 中的多帳戶策略的概念、模式和實作指引，請參閱 [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)。

 當您集中管理多個 AWS 帳戶 時，應該將您的帳戶組織成由組織單位 (OU) 層定義的階層。接著可以組織安全控制並套用至 OU 和成員帳戶，在組織內的成員帳戶上建立一致的預防性控制。安全控制是繼承的，讓您能夠篩選位於 OU 階層較低層級的成員帳戶可用的許可。良好的設計可利用此繼承關係來降低必要的安全政策數目和複雜度，達成每個成員帳戶預期的安全控制。

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 和 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 是可以用來在 AWS 環境中實作和管理此多帳戶結構的兩個服務。AWS Organizations 可讓您將帳戶組織到由一個或多個 OU 層定義的階層中，每個 OU 都包含許多成員帳戶。[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 可讓組織管理員在成員帳戶上建立精細的預防性控制，並且 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) 可用於在成員帳戶上建立主動性和偵測性控制。許多 AWS 服務[與 AWS Organizations 整合](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)，以提供委派的管理控制，並在組織的所有成員帳戶中執行服務特定任務。

 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 位於 AWS Organizations 之上，為具有[登陸區域](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)的多帳戶 AWS 環境提供一鍵式最佳實務設定。該登陸區域是通往由 Control Tower 所建立之多帳戶環境的進入點。與 AWS Organizations 相比，Control Tower 具有數個[好處](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/)。提供改進的帳戶管控的三個優點是：
+  整合式強制性安全控制，會自動套用至獲准加入組織的帳戶。
+  選擇性控制，可針對指定 OU 集合開啟或關閉。
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 提供自動化帳戶部署，其中包含組織內部預先核准的基準和組態選項。

 **實作步驟** 

1.  **設計組織單位結構：**設計合理的組織單位結構可減少建立及維護服務控制政策及其他安全性控制所需的管理負擔。您的組織單位結構應[與業務需求、資料敏感度和工作負載結構保持一致](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/)。

1.  **為多帳戶環境建立登陸區域：**登陸區域可提供一致的安全性和基礎設施基礎，您的組織可以從中快速開發、啟動和部署工作負載。可以使用[自訂建置的登陸區域或 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) 來協調您的環境。

1.  **建立防護機制：**透過登陸區域為您的環境實作一致的安全防護機制。AWS Control Tower 提供可部署的[強制性](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html)控制與[選擇性](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html)控制清單。實作 Control Tower 時會自動部署強制性控制。審核強烈建議的控制和選擇性控制清單，並實作符合您需求的控制。

1.  **限制對新增區域的存取**：對於新 AWS 區域，IAM 資源 (例如使用者和角色) 只會傳播到您指定的區域。可以在[使用 Control Tower 時透過主控台](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)執行此動作，或[在 AWS Organizations 中調整 IAM 權限政策](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)。

1.  **考慮 AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**：StackSets 可協助您將資源 (包括 IAM 政策、角色和群組) 從核准的範本中部署到不同的 AWS 帳戶 帳戶和區域。

## 資源
<a name="resources"></a>

**相關的最佳實務：**
+ [SEC02-BP04 仰賴集中式身分提供者](sec_identities_identity_provider.md)

**相關文件：**
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS 安全性稽核指南](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [使用 CloudFormation StackSets 在多個 AWS 帳戶 和區域中佈建資源](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Organizations 常見問答集](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [AWS Organizations 多帳戶環境中服務控制政策的最佳實務](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS 帳戶管理參考指南](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**相關影片：**
+  [透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s) 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 
+  [使用 AWS Control Tower 建置和管控多個帳戶](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [為現有組織啟用 Control Tower](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 保護帳戶根使用者和屬性
<a name="sec_securely_operate_aws_account"></a>

 根使用者是 AWS 帳戶 中最具特權的使用者，對帳戶內的所有資源具備完整的管理存取權，並且在某些情況下，不受安全政策的限制。停用對根使用者的程式設計存取，為根使用者建立適當的控制，以及避免例行使用根使用者，可降低意外暴露根憑證及後續危及雲端環境的風險。

**預期成果：**保護根使用者有助於減少因濫用根使用者憑證而造成意外或蓄意損壞的機會。建立偵測控制也能在當使用根使用者採取動作時警告適當的人員。

**常見的反模式：**
+  將根使用者用於需要根使用者憑證以外的工作。  
+  疏於定期測試緊急應變計劃以確認重大基礎設施、程序和人員在緊急情況下的運作情形。
+  僅考慮一般帳戶登入流程而疏於考慮或測試替代帳戶復原方法。
+  未將 DNS、電子郵件伺服器和電話提供者作為重要安全周邊的一部分來處理，因為其會用於帳戶復原流程。

 **建立此最佳實務的優勢：**保護對根使用者的存取，可建立對帳戶中的動作加以控制和稽核的信心。

 **未建立此最佳實務時的風險暴露等級**：高 

## 實作指引
<a name="implementation-guidance"></a>

 AWS 提供眾多工具來協助保護您的帳戶。然而，由於預設情況下不會開啟其中一些措施，因此您必須採取直接行動加以實作。考慮將這些建議作為保護 AWS 帳戶 的基本步驟。實作這些步驟時，務必建立程序以持續評估和監視安全控制。

 首次建立 AWS 帳戶 時，您是從一個對帳戶中所有 AWS 服務和資源具有完全存取權的身分開始。此身分稱為 AWS 帳戶 根使用者。您可以使用您用來建立帳戶的電子郵件地址和密碼，以根使用者的身分登入。由於授予給 AWS 根使用者更高的存取權限，您必須限制 AWS 根使用者的使用，才能執行[特別需要它](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)的任務。根使用者登入憑證必須受嚴密防護，並且多重要素驗證 (MFA) 應始終用於 AWS 帳戶 根使用者。

 除了一般驗證流程 (使用使用者名稱、密碼和多重要素驗證 (MFA) 裝置登入根使用者) 之外，還有帳戶復原流程會登入 AWS 帳戶 根使用者，而其能夠存取與您的帳戶相關聯的電子郵件地址和電話號碼。因此，保護傳送復原電子郵件的根使用者電子郵件帳戶以及與帳戶相關聯的電話號碼同樣也很重要。另外，對於與根使用者相關聯的電子郵件地址託管在相同 AWS 帳戶的電子郵件伺服器或網域名稱服務 (DNS) 資源上的情況，也要考慮可能的循環相依性。

 使用 AWS Organizations 時，會有多個 AWS 帳戶，各自都有根使用者。將一個帳戶指定為管理帳戶，接著可以在該管理帳戶之下新增數層成員帳戶。優先保護您的管理帳戶根使用者後，再來處理成員帳戶根使用者。保護管理帳戶根使用者的策略可不同於成員帳戶根使用者，而且您可以對成員帳戶根使用者設立預防性安全控制。

 **實作步驟** 

 以下是為根使用者建立控制的建議實作步驟。如果適用，建議將交叉引用到 [CIS AWS Foundations 基準版本 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html)。除了這些步驟之外，請參閱[保護您的 AWS 帳戶 及其資源的 AWS 最佳實務指引](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/)。

 **預防性控制** 

1.  為帳戶設定準確的[聯絡資訊](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。

   1.  此資訊會用於遺失密碼復原流程、遺失 MFA 裝置帳戶復原流程，以及與您的團隊進行重大安全相關通訊。

   1.  使用由您的企業網域所託管的電子郵件地址 (最好是使用分發清單) 作為根使用者的電子郵件地址。使用分發清單而不是個人的電子郵件帳戶可對長期存取根帳戶提供額外的備援和持續性。

   1.  聯絡資訊上所列的電話號碼應該是針對此用途的專用安全電話。不應公布或與他人共用電話號碼。

1.  請勿為根使用者建立存取金鑰。若存在存取金鑰，請將其移除 (CIS 1.4)。

   1.  去除根使用者任何長期存留的程式設計憑證 (存取和秘密金鑰)。

   1.  如果根使用者存取金鑰已存在，您應該使用這些金鑰來轉換程序，以使用來自 AWS Identity and Access Management (IAM) 角色的臨時存取金鑰，然後[刪除根使用者存取金鑰](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key)。

1.  確定您是否需要儲存根使用者的憑證。

   1.  如果您使用 AWS Organizations 建立新成員帳戶，則成員帳戶上的根使用者的初始密碼會設為隨機值，並且不會向您公開。如有需要，請考慮使用來自 AWS 組織管理帳戶的密碼重設流程，[以取得成員帳戶的存取權](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)。

   1.  對於獨立 AWS 帳戶 或管理 AWS 組織帳戶，請考慮建立根使用者的憑證並安全存放。為根使用者使用 MFA。

1.  在 AWS 多帳戶環境中為成員帳戶根使用者使用預防性控制。

   1.  考慮針對成員帳戶使用[不允許為根使用者建立根存取金鑰](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys)預防性防護機制。

   1.  考慮針對成員帳戶使用[不允許以根使用者身分執行動作](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions)預防性防護機制。

1.  如果您需要根使用者的憑證：

   1.  使用複雜密碼。

   1.  為根使用者開啟多重要素驗證 (MFA)，尤其是 AWS Organizations 管理 (付款人) 帳戶 (CIS 1.5)。

   1.  考慮硬體 MFA 裝置以獲得彈性和安全性，因為一次性裝置可減少包含 MFA 代碼的裝置重複用於其他用途的可能性。確認定期更換使用電池的硬體 MFA 裝置。(CIS 1.6) 
      +  若要為根使用者設定 MFA，請遵循建立[虛擬 MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) 或[硬體 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root)的指示。

   1.  考慮註冊多個 MFA 裝置進行備份。[每個帳戶最多允許 8 個 MFA 裝置](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/)。
      +  請注意，[如果 MFA 裝置遺失](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/)，為根使用者註冊多個 MFA 裝置會自動關閉復原帳戶的流程。

   1.  請將密碼妥善保管，如果以電子方式儲存密碼，請考慮循環相依性。儲存密碼時，請勿以需要存取相同的 AWS 帳戶 來取得密碼的方式儲存。

1.  選擇性：考慮為根使用者建立定期密碼輪流排程。
   +  憑證管理最佳實務取決於您法規和政策需求。受 MFA 保護的根使用者不依賴把密碼當作單一驗證要素。
   +  定期[變更根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)可降低不慎公開密碼遭到濫用的風險。

 **偵測性控制** 
+  建立警示以偵測根憑證的使用 (CIS 1.7)。[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) 可以透過 [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 調查結果來監控根使用者 API 憑證使用情況，並發出提醒。
+  評估並實作[適用於 AWS Config 的 AWS Well-Architected 安全支柱一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html)中包含的偵測控制，或者如果使用 AWS Control Tower，則評估並實作 Control Tower 內可用的[強烈建議的控制](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html)。

 **操作指引** 
+  確定組織內誰應該存取根使用者憑證。
  +  使用雙人規則，如此沒有單獨一人可以存取所有必要的憑證和 MFA 來取得根使用者存取權。
  +  確認組織而不是單一個人持有對與帳戶相關聯的電話號碼和電子郵件別名 (用於密碼重設和 MFA 重設程序) 的控制權。
+  只在特殊情況下使用根使用者 (CIS 1.7)。
  +  AWS 根使用者不可用於日常任務，即使管理任務也一樣。只有以根使用者身分登入，才能執行[需要根使用者的 AWS 任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。所有其他動作都應該由其他擔任適當角色的使用者執行。
+  定期檢查根使用者的存取權操作正常，以便在發生需要使用根使用者憑證的緊急情況之前，測試相關程序。
+  定期檢查與帳戶相關聯的電子郵件地址，以及[替代連絡人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)下列出的電子郵件地址。監控這些電子郵件收件匣，查看您可能接收的來自 abuse@amazon.com 的安全通知。另外確保與帳戶相關聯的任何電話號碼都有效。
+  準備事件回應程序以回應根帳戶誤用的情況。請參閱 [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 和[安全支柱白皮書中「事件回應」一節](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)中的最佳實務，了解如何為 AWS 帳戶建立事件回應策略的詳細資訊。

## 資源
<a name="resources"></a>

**相關的最佳實務：**
+ [SEC01-BP01 使用帳戶區隔工作負載](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 使用強式登入機制](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 授予最低權限存取權](sec_permissions_least_privileges.md)
+ [SEC03-BP03 建立緊急存取程序](sec_permissions_emergency_process.md)
+ [SEC10-BP05 預先佈建存取權](sec_incident_response_pre_provision_access.md)

**相關文件：**
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS 安全性稽核指南](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty – 根憑證使用情況警示](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [透過 CloudTrail 監控根憑證使用情況的逐步指引](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [已核准可與 AWS 搭配使用的 MFA 權杖](https://aws.amazon.com/iam/features/mfa/) 
+  在 AWS 上實作[緊急存取](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) 
+  [在 AWS 帳戶 中要改善的十大安全項目](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [如果發現我的 AWS 帳戶 中有未經授權的活動，該怎麼辦？](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**相關影片：**
+  [透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s) 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 
+  [限制使用 AWS 根憑證](https://youtu.be/SMjvtxXOXdU?t=979)，來自 AWS re:inforce 2022 – AWS IAM 安全最佳實務