管理账户的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理账户的最佳实践

请按照这些建议来帮助保护Amazon Organizations。

注意

Amazon Organizations正在将 “主账户” 的名称更改为 “管理账户”。此次只更改名称,功能上没有任何变化。当我们完成过渡到较新术语的工作时,您可能会继续看到旧术语的几个实例。如果您看到我们错过的信息,请使用反馈链接,让我们知道。

仅将管理帐户用于require管理账户

我们建议您仅将管理帐户及其用户和角色用于只能由该帐户执行的任务。存储您的所有Amazon中的资源其他 Amazon Web Services 账户 在组织中,并将它们保留在管理帐户之外。一个例外是,我们建议您启用Amazon CloudTrail并在管理帐户中保留相关的 CloudTrail 跟踪和日志。

将资源保留在其他帐户中的一个重要原因是,Organizations 服务控制策略 (SCP) 无法限制管理帐户中的任何用户或角色。

将资源与管理帐户分离还有助于您了解发票上的费用。

使用复杂的密码作为管理帐户的管理用户

  • 您账户的安全性管理用户取决于其密码的强度。我们建议您使用长、复杂且不在其他任何地方使用的密码。大量密码管理器和复杂的密码生成算法和工具可帮助您实现这些目标。

为您的 MFA管理用户凭证

有关如何启用多重验证 (MFA) 的说明,请参阅在中使用多重验证 (MFA)Amazon

  • 使用不依赖电池的基于硬件的设备生成一次性密码 (OTP)。这种方法有助于确保 MFA 不可能复制,并且在长期存储期间不会受到电池褪色风险的影响。

    • 如果您确实决定使用基于电池的 MFA,请确保添加进程以定期检查设备,并在到期日期临近时进行更换。

    • 创建一个计划来处理需要在需要时保持对令牌的 24/7 访问的物流。

  • 强烈建议您不要为保护此管理帐户以外的任何其他目的重新使用该物理 MFA。如果重复使用物理 MFA,它可能会造成操作混乱和不必要的 MFA 暴露。

  • 根据您的信息安全策略存储 MFA 设备,但与用户的关联密码相同的位置。确保访问密码的过程和访问 MFA 的过程需要对不同资源(人员、数据和工具)的不同访问权限。

  • 对 MFA 设备或其存储位置的任何访问都应记录和监视。

将电话号码添加到账户联系信息

  • 虽然有一些针对固定电话、SIP 和移动电话号码的可靠攻击媒介,但总体而言,这些传播媒介的复杂性超过了风险。

  • 配置电话号码有多种选项,但我们推荐的是一个专用的 SIM 卡和手机,长期存放在保险箱中。确保负责支付此电话合同移动账单的团队了解该号码的重要性,即使长时间内显然不会发送或接收任何电话。

  • 重要的是,这个电话号码在企业内不是众所周知的。将其记录在Amazon联系信息控制台页面,并与您的账单团队共享其详细信息。不要将其记录在其他任何地方。这种方法有助于降低与将绑定到 SIM 卡的电话号码移动到另一个 SIM 卡相关的攻击媒介的风险。

  • 根据您现有的信息安全策略存储手机。但是,请勿将电话存储在与其他相关凭据信息相同的位置。

  • 对手机或其存储位置的任何访问都应记录和监控。

查看并跟踪谁有权访问

  • 为确保您保持对管理帐户的访问权限,请定期审查您企业中有权访问与其相关联的电子邮件地址、密码、MFA 和电话号码的人员。使您的审核与现有业务流程保持一致。但是,值得添加对此信息的每月或每季度审查,以确保只有正确的人才能访问。