有关多账户环境的最佳实践
遵循以下建议,以帮助指导您在 Amazon Organizations 中设置和管理多账户环境。
账户和凭证
为根用户使用强密码
我们建议您使用独有的强密码。多种密码管理器和强密码生成算法及工具都可帮助您实现这些目标。有关更多信息,请参阅更改 Amazon Web Services 账户根用户 的密码。使用企业的信息安全政策来管理根用户密码的长期存储和访问。我们建议将密码存储在符合组织安全要求的密码管理器系统或同等系统中。为了避免创建循环依赖,请不要使用依赖于您使用受保护账户登录的Amazon服务的工具来存储根用户密码。无论选择哪种方法,我们都建议您优先考虑弹性,此外还可考虑要求获得多个参与者的授权后才能访问密码保管库,从而增强保护能力。对密码或其存储位置的任何访问都应有日志记录和监控。有关其他根用户密码建议,请参阅您的 Amazon Web Services 账户 的根用户最佳实践。
记录使用根用户凭证的过程
记录重要流程的执行情况,以确保每个步骤中涉及的人员和使用的值均有记录。在密码管理方面,我们建议使用安全的加密密码管理器。记录可能出现的任何异常和意外事件也很重要。有关更多信息,请参阅《Amazon Web Services Management Console 登录用户指南》中的 Amazon 登录故障排除和《IAM 用户指南》中的需要根用户凭证的任务。
至少每季度测试并验证您是否有权继续访问根用户,以及联系电话号码是否正常。这有利于帮助企业确认相关流程运行正常,并确保您拥有根用户的访问权限。这还可以证明,负责根访问权限的人员了解他们必须执行哪些步骤,以确保整个过程的成功。为加快响应速度并提高成功率,必须确保参与流程的所有人员都准确了解必须进行哪些操作,以备访问之需。
为您的根用户凭证启用 MFA
我们建议您为 Amazon Web Services 账户中的 Amazon Web Services 账户 根用户和 IAM 用户启用多个多重身份验证(MFA)设备。这可以提高您的 Amazon Web Services 账户的安全水准,简化对高权限用户(例如 Amazon Web Services 账户根用户)的访问管理。为满足不同的客户需求,Amazon 支持三种可用于 IAM 的 MFA 设备,包括 FIDO 安全密钥、虚拟身份验证器应用程序和基于时间的一次性密码(TOTP)硬件令牌。
每种类型的身份验证器具有略有不同的物理和安全特性,适合不同的应用场景。FIDO2 安全密钥可提供最佳的安全保障,可抵御网络钓鱼。任何形式的 MFA 都比纯密码身份验证具有更好的安全性,我们强烈建议您在账户中添加某种形式的 MFA。选择与您的安全和操作要求最相符的设备类型。
如果主身份验证器选择使用电池供电的设备,例如 TOTP 硬件令牌,请考虑注册一个不依赖电池的身份验证器,以作为备用机制。定期检查设备功能并在有效期届满之前进行更换,对于确保不间断的访问也至关重要。无论选择哪种类型的设备,我们都建议至少注册两台设备(IAM 支持每位用户最多八台 MFA 设备),以提高您抵御设备丢失或故障的能力。
根据贵组织的信息安全政策来保管 MFA 设备。我们建议您将 MFA 设备与关联的密码分开保管。这样可以确保需要具备不同的资源(人员、数据和工具)才能访问密码和 MFA 设备。这种隔离增加了额外的保护层,可防止未经授权的访问。我们还建议您记录和监控对 MFA 设备或其保管位置的任何访问。这有利于发现和处置任何未经授权的访问。
有关更多信息,请参阅《IAM 用户指南》中的使用多重身份验证 (MFA) 保护根用户。有关启用 MFA 的说明,请参阅 在 Amazon 中使用多重身份验证(MFA) 以及 在 Amazon 中为用户启用 MFA 设备。
应用控件来监视对根用户凭证的访问
对根用户凭证的访问应该是罕见事件。使用诸如 Amazon EventBridge 之类的工具创建提醒,以在发生管理账户根用户凭证的登录和使用事件时发送通知。此提醒应包括但不限于用于根用户本身的电子邮件地址。此提醒应当醒目,难以漏掉。有关示例,请参阅Amazon Web Services 账户根用户活动的监控和通知
确保更新联系电话号码
要找回 Amazon Web Services 账户的访问权限,您必须拥有一个有效的联系电话号码并保持畅通,以便接收短信或电话。我们建议您使用专用的电话号码,以确保 Amazon 可以就账户支持和恢复目的与您联系。您可以通过 Amazon Web Services Management Console 或账户管理 API,来轻松查看和管理您的账户电话号码。
您可以通过多种方法来获得专用电话号码,以确保 Amazon 可以与您联系。我们强烈建议您购买专用 SIM 卡和实体电话。妥善长期保管手机和 SIM 卡,确保电话号码始终可用于恢复账户。此外还应确保负责手机账单的团队了解该号码的重要性,即使该号码长期未使用。必须对您组织内的此电话号码保密,以加强保护。
在 Amazon 联系信息控制台页面中记录该电话号码,并将其详情告知组织中必须了解该号码的具体团队。这种方法可帮助尽可能减少将电话号码转移到其他 SIM 卡相关的风险。根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。对电话或其保管位置的任何访问都应记录和监控。如果与账户关联的电话号码发生变化,请根据相关流程更新现有文档中记录的电话号码。
为根用户使用组电子邮件地址
使用由您的企业管理的电子邮件地址。使用会收到的邮件直接转发到一组用户的电子邮件地址。如果 Amazon 必须联系账户的所有(例如,确认访问权限),则电子邮件将分发给多个当事方。这种方法有助于降低响应延迟的风险,即使个人在度假、生病或离开公司时也是如此。
组织结构和工作负载
在单个组织中管理账户
我们建议您创建单个组织,并在该组织中管理您的所有账户。组织是一种安全边界,可帮助确保您环境中的账户保持一致。您可以在一个组织中跨账户集中应用策略或服务级别配置。如果要在多账户环境中实现一致的策略、集中可见性和编程控制,则建议通过单个组织来实现。
根据业务目的而不是报告架构对工作负载进行分组
我们建议您利用面向工作负载的顶层 OU 来隔离生产工作负载环境和数据。您的 OU 应基于一组通用的控制措施,而不是基于贵公司的报告架构。除生产 OU 外,我们建议您定义一个或多个非生产 OU,其中包含用于开发和测试工作负载的账户和工作负载环境。有关其他指导意见,请参阅 整理面向工作负载的 OU。
使用多个账户来整理工作负载
Amazon Web Services 账户为您的 Amazon 资源提供了自然的安全、访问和计费边界。使用多个账户有很多好处,因为这样可以分配账户级别的限额和 API 请求速率限制,其他好处 详见此处。我们建议您使用多个 组织范围的基础账户,例如安全账户、日志记录账户和基础设施账户。对于工作负载账户,您应 利用不同的账户来隔离生产工作负载和测试/开发工作负载。
服务和成本管理
使用服务控制台或 API/CLI 操作在组织层面启用 Amazon 服务
作为最佳实践,如需启用或禁用您想跨 Amazon Organizations 集成的任何服务,我们建议使用该服务的控制台或等效的 API 操作/CLI 命令。使用这种方法,Amazon 服务可以为您的组织执行所有需要的初始化步骤,例如在禁用服务时创建任何需要的资源以及清理资源。Amazon Account Management 是唯一需要使用 Amazon Organizations 控制台或 API 才能启用的服务。要查看与 Amazon Organizations 集成的服务列表,请参阅 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务。
使用计费工具跟踪成本并优化资源使用情况
管理组织时,您会收到一份包含组织中账户的所有费用的整合账单。如果需要访问成本可见性功能的业务用户,您可以在管理账户中提供一个角色,并为其提供查看账单和成本工具的受限只读权限。例如,您可以 创建权限集 来提供账单报告的访问权限,也可以使用 Amazon Cost Explorer Service(一种用于查看一段时间内成本趋势的工具)以及 Amazon S3 Storage Lens 存储统计管理工具
制定标记策略并在组织资源中强制使用标签
随着账户和工作负载的扩展,利用标签可以有效地帮助跟踪成本、控制访问权限和整理资源。对于标记命名策略,请遵循 为 Amazon 资源添加标签 中的指导意见。除资源外,您还可以为组织的根目录、账户、OU 和策略创建标签。有关更多信息,请参阅 制定标记策略。