成员账户的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

成员账户的最佳实践

请遵循这些建议,帮助保护组织中成员账户的安全性。

为成员帐户使用复杂的密码管理用户

  • 您账户的安全性管理用户取决于其密码的强度。我们建议您使用长、复杂且不在其他任何地方使用的密码。大量密码管理器和复杂的密码生成算法和工具可帮助您实现这些目标。

为您的 MFA 启用管理用户凭证

有关如何启用多重验证 (MFA) 的说明,请参阅在中使用多重验证 (MFA)Amazon

  • 我们建议您使用不依赖电池的基于硬件的设备来生成一次性密码 (OTP)。这种方法有助于确保 MFA 无法复制,并且在长期存储期间不会出现电池褪色风险

    • 如果您确实决定使用基于电池的 MFA,请确保添加进程以定期检查设备,并在到期日期临近时进行更换。

    • 创建一个计划来处理需要在需要时保持对令牌的 24/7 访问的物流。

  • 如果您选择使用虚拟 MFA 应用程序,那么与我们的管理账户的建议管理用户,对于成员帐户,您可以为多个成员帐户重新使用单个 MFA 设备。您可以通过在虚拟 MFA 应用程序中打印并安全地存储用于配置帐户的二维码来解决地理限制。根据您的信息安全政策,记录 QR 码的用途,并将其密封并存储在您所在时区内的无障碍保险箱中。然后,当需要在其他地理位置访问时,可以检索二维码的本地副本,并用于在新位置配置虚拟 MFA 应用程序。

  • 根据您的信息安全策略存储 MFA 设备,但不是的关联密码位于同一位置管理用户。确保访问密码的过程和访问 MFA 设备的过程需要不同的资源(人员、数据和工具)不同的访问过程。

  • 应记录和监视 MFA 设备或其存储位置的任何访问。

  • 如果您丢失或损坏了 MFA 设备,您可能需要联系客户 Support,以便从您的帐户中删除 MFA。在执行此操作之前,他们必须验证提出请求的人是否拥有与帐户关联的电子邮件地址、电话号码和安全问题。因此,请确保您拥有这些信息,并使其保持最新并安全地存储。

将管理帐户的电话号码添加到成员帐户联系信息

  • 您通常可以依赖组织管理帐户中的电话号码,以获得任何关键帐户恢复。因此,我们认为,管理一个单独的电话号码到会员帐户的联系信息是不必要的操作开销。因此,我们建议您添加管理帐户相同的电话号码。无论您使用的号码与管理帐户是否相同,请将所用电话号码的准确列表以及任何活动的安全问题保存在与凭据本身类似的安全位置。

查看并跟踪谁有访问权限

  • 正如我们建议的管理帐户,您应定期审查您企业内有权访问您会员账户的电子邮件地址、密码、MFA 和电话号码的人员管理用户。使您的审核与现有业务流程保持一致。但是,值得添加对此信息的每月或每季度审查,以确保只有正确的人才能访问。