管理账户的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理账户的最佳实践

请遵循以下建议,来帮助保护 Amazon Organizations 中管理账户的安全。这些建议假定您还遵守仅将根用户用于真正需要它的任务的最佳实践

仅将管理账户用于需要管理账户的任务

我们建议您仅将管理账户及其用户和角色用于只能由该账户执行的任务。将您的所有Amazon资源存储在组织中的其他Amazon Web Services 账户中,并将它们保留在管理账户之外。唯一的例外是,我们建议您启用Amazon CloudTrail并在管理账户中保留相关的 CloudTrail 跟踪记录和日志。

将资源保留在其他账户中的一个重要原因是,Organizations 服务控制策略(SCP)无法限制管理账户中的任何用户或角色。

将资源与管理账户分离还有助于您了解发票上的费用。

为管理账户的根用户使用组电子邮件地址

  • 使用由您的企业管理的电子邮件地址。请勿使用公共电子邮件提供商或由第三方管理的电子邮件提供商。

  • 使用电子邮件地址将收到的邮件直接转发到高级业务经理列表。如果Amazon需要联系账户的拥有者(例如,确认访问权限),则电子邮件消息被分发给多个当事方。这种方法有助于降低响应延迟的风险,即使个人在度假、生病或离开公司时也是如此。

为管理账户的根用户使用复杂的密码

  • 您账户根用户的安全性取决于其密码的强度。我们建议您使用长、复杂且未在其他任何地方使用的密码。大量密码管理器和复杂的密码生成算法和工具可帮助您实现这些目标。

  • 如果您使用的是强密码(如前面所述),并且很少访问根用户,我们建议您不必定期更改密码。更改密码的频率高于您使用密码的频率会增加泄露的风险。

  • 依靠企业的信息安全策略来管理长期存储和对根用户密码的访问。此方法可能意味着您要执行以下任一操作:

    • 输入密码,然后将其存储在安全位置。

    • 将密码拆分成几个部分,然后将这些部分分发给高级业务经理。

    • 将密码存储在密码管理器系统或工具中,以便进一步控制和处理它们。如果您确实使用密码管理器,我们建议它处于离线状态。为了避免创建循环依赖,请不要使用依赖于您使用受保护账户登录的Amazon服务的工具来存储根用户密码。

    无论您选择何种方法,我们都建议该方法应确保灵活性,并且需要多个参与者参与以减少串通风险。

  • 对密码或其存储位置的任何访问都应记录和监视。

为您的根用户凭证启用 MFA

有关如何启用多重身份验证(MFA)的说明,请参阅在Amazon中使用多重身份验证(MFA)

  • 使用不依赖电池的基于硬件的设备来生成一次性密码(OTP)。这种方法有助于确保 MFA 无法复制,并且在长期存储期间不会出现电池损耗风险

    • 如果您确实使用基于电池的 MFA,请确保添加定期检查设备的流程,并在到期日期临近时进行更换。

    • 创建一个计划,处理需要全天候访问令牌的需求逻辑。

  • 强烈建议您不要将物理 MFA 用于保护此管理账户以外的任何其他目的。如果重复使用物理 MFA,它可能会造成操作混乱和不必要的 MFA 暴露。

  • 根据您的信息安全策略存储 MFA 设备,但不要与用户的关联密码位于同一位置。确保不同的资源(人员、数据和工具)访问密码的流程和访问 MFA 的流程各采用不同的访问权限。

  • 对 MFA 设备或其存储位置的任何访问都应记录和监视。

将电话号码添加到账户联系信息中

  • 虽然有一些针对固定电话、SIP 和移动电话号码的可信攻击载体,但总体而言,这些载体的复杂性远超风险。如果您使用此机制恢复根访问权限,则 Amazon Web Services Support 代表可使用其他因素管理这些风险。因此,我们建议添加一个电话号码,作为该流程的另一个有用的障碍。

  • 预置电话号码有多种选项,但我们推荐使用专用 SIM 卡和手机,并长期存放在安全位置。务必要确保负责支付此电话合约移动账单的团队了解该号码的重要性,即使该号码在很长时间内不会发送或接收任何电话。

  • 重要的是,这个电话号码在企业内不为人所知。将该号码记录在Amazon联系信息控制台页面,并与您的账单团队共享其详细信息。不要将其记录在其他任何地方。这种方法有助于降低将与 SIM 卡绑定的电话号码移动到另一个 SIM 卡相关的攻击载体的风险。

  • 根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。

  • 对电话或其存储位置的任何访问都应记录和监视。

查看并跟踪谁有访问权限

  • 为确保您保持对管理账户的访问权限,请定期审查您企业中有权访问与其相关联的电子邮件地址、密码、MFA 和电话号码的人员。使您的审查与现有业务流程保持一致。但是,有必要每月或每季度对这些信息进行一次审查,以确保只有正确的人才能访问。

  • 确保恢复或重置对根用户凭证的访问权限的过程不依赖于任何特定个人来完成。所有流程都应能解决人员不可用的可能情况。

记录使用根用户凭证的过程

  • 重要流程(例如创建组织管理账户)通常是一个计划流程,包括多个步骤和人员。我们建议您记录并发布该计划,包括要执行的步骤及其完成顺序。这种方法有助于确保所作决策得到正确执行。

  • 对重要过程的执行情况进行记录,以确保每个步骤中涉及的人员和使用的值均有记录。提供有关发生的任何异常和意外事件的文档也很重要。

    如果确实发生异常或不可预见的事件,请记录发生时间、离开房间的人员以及带出的物品。然后,您还应记录谁返回房间以及带回了什么。

  • 创建一套有关如何在不同的场景中使用根用户凭证的发布流程,例如重置密码。如果您完全不了解特定场景中与 Amazon Web Services Support 交互的流程,请创建一个支持工单,寻求有关如何执行该任务的最新指导。

    您应记录的一些场景包括:

    • 访问根用户以执行只有根用户才能执行的操作之一。

    • 当您失去访问权限时,重置根用户密码。

    • 当您仍有访问权限时,更改根用户密码。

    • 当您失去对设备的访问权限时,重置根用户 MFA。

    • 当您使用基于电池的设备时,更改根用户 MFA。

    • 当您失去对电子邮件账户的访问权限时,重置根用户电子邮件地址。

    • 当您仍有访问权限时,更改根用户电子邮件地址。

    • 当您失去对电话号码的访问权限时,重置根用户电话号码。

    • 当您仍有访问权限时,更改根用户电话号码。

    • 删除组织的管理账户。

  • 测试并验证您是否有权继续访问根用户,以及移动电话号码是否至少每季度运行一次。此计划有助于确保业务流程正常运行,并确保您能够保持访问权限。它还表明,访问权限的保管人了解他们需要执行哪些步骤才能使访问成功。您绝不希望参与流程的人员不明白他们应该做什么。与消防演习一样,通过实践提高能力,并减少意外。

    在每次测试中,抓住机会反思经验,并提出改进流程的建议。特别要检查执行不正确或导致意外结果的任何步骤。您如何改变流程以便在下一次改进它?

    有些客户将这些测试作为轮换密码的机会。我们的建议是不要轮换密码。相反,请保持使用相同的复杂密码。只有在怀疑密码被泄露时,才应考虑更新密码。

应用控件来监视对根用户凭证的访问

  • 对根用户凭证的访问应该是罕见事件。使用诸如 Amazon CloudWatch Events 之类的工具创建警报,以在发生管理账户根用户凭证的登录和使用事件时发送通知。本通知应包括但不限于用于根用户本身的电子邮件地址。无论使用是有效的还是恶意的,此通知均应明确显示,并且难以忽视。有关示例,请参阅Amazon Web Services 账户根用户活动的监控和通知

  • 确保收到此类通知的人员了解如何验证是否需要根用户访问权限,以及在他们在认为发生安全事件时如何提升权限。