管理账户的最佳实践
请遵循以下建议,来帮助保护 Amazon Organizations 中管理账户的安全。这些建议假定您还遵守仅将根用户用于真正需要它的任务的最佳实践。
限制谁有权访问管理账户
管理账户是所有上述管理任务的关键,例如账户管理、策略、与其他 Amazon 服务的集成、整合账单等。因此,您应限定和限制管理账户的访问权限,仅允许那些需要相关权限以对组织进行更改的管理员用户使用。
检查并跟踪谁有访问权限
为确保您保持对管理账户的访问权限,请定期检查您企业中有权访问与管理账户关联的电子邮件地址、密码、MFA 和电话号码的人员。使您的审查与现有业务流程保持一致。每月或每季度对这些信息进行一次审查,以确认只有正确的人才能访问。确保恢复或重置对根用户凭证的访问权限的过程不依赖于任何特定个人来完成。所有流程都应能解决人员不可用的可能情况。
仅将管理账户用于需要管理账户的任务
我们建议您将管理账户及其用户和角色仅用于必须由该账户执行的任务。将您的所有 Amazon 资源存储在组织中的其他 Amazon Web Services 账户中,而非保存在管理账户中。将资源保留在其他账户中的一个重要原因是,Organizations 服务控制策略(SCP)无法限制管理账户中的任何用户或角色。将资源与管理账户分离还有助于您了解发票上的费用。
有关必须从管理账户调用的任务列表,请参阅只能从组织的管理账户调用的操作。
避免将工作负载部署到组织的管理账户中
组织的管理账户中可以执行特权操作,SCP 不适用于管理账户。因此,管理账户中包含的云资源和数据应仅限必须在管理账户中管理的云资源和数据。
将责任委托给非管理账户以实现去中心化
我们建议尽可能将责任和服务委托给非管理账户。为团队自己的账户提供无需访问管理账户,即可满足组织需求所需的权限。此外,您可以为支持此功能的服务注册多个委托管理员,例如用于在组织内共享软件的 Amazon Service Catalog,或用于创作和部署堆栈的 Amazon CloudFormation StackSets。
有关更多信息,请参阅 安全参考架构、使用多个账户整理 Amazon环境 ,以及 可与 Amazon Organizations 结合使用的 Amazon Web Services 服务,以了解有关将成员账户注册为各种 Amazon 服务的委托管理员的建议。
有关设置委托管理员的更多信息,请参阅 为 Amazon Account Management 启用委托管理员账户 和 Amazon Organizations 的委托管理员。