管理账户的最佳实践
请遵循以下建议,来帮助保护 Amazon Organizations 中管理账户的安全。
Amazon Organizations 正在将“主账户”的名称更改为“管理账户”。此次只更新了名称,功能上没有任何变化。在我们完成向新术语过渡期间,您可能会继续看到一些旧术语。如果您发现我们有所遗漏,请使用反馈链接告诉我们。
仅将管理账户用于require管理账户的任务
我们建议您仅将管理账户及其用户和角色用于只能由该账户执行的任务。将您的所有Amazon资源存储在组织中的其他Amazon Web Services 账户中,并将它们保留在管理账户之外。唯一的例外是,我们建议您启用Amazon CloudTrail并在管理账户中保留相关的 CloudTrail 跟踪记录和日志。
将资源保留在其他账户中的一个重要原因是,Organizations 服务控制策略(SCP)无法限制管理账户中的任何用户或角色。
将资源与管理账户分离还有助于您了解发票上的费用。
为管理账户的管理用户使用复杂的密码
-
您账户管理用户的安全性取决于其密码的强度。我们建议您使用长、复杂且未在其他任何地方使用的密码。大量密码管理器和复杂的密码生成算法和工具可帮助您实现这些目标。
为您的管理用户凭证启用 MFA
有关如何启用多重身份验证(MFA)的说明,请参阅在Amazon中使用多重身份验证(MFA)。
-
使用不依赖电池的基于硬件的设备来生成一次性密码(OTP)。这种方法有助于确保 MFA 无法复制,并且在长期存储期间不会出现电池损耗风险
-
如果您确实使用基于电池的 MFA,请确保添加定期检查设备的流程,并在到期日期临近时进行更换。
-
创建一个计划,处理需要全天候访问令牌的需求逻辑。
-
-
强烈建议您不要将物理 MFA 用于保护此管理账户以外的任何其他目的。如果重复使用物理 MFA,它可能会造成操作混乱和不必要的 MFA 暴露。
-
根据您的信息安全策略存储 MFA 设备,但不要与用户的关联密码位于同一位置。确保不同的资源(人员、数据和工具)访问密码的流程和访问 MFA 的流程各采用不同的访问权限。
-
对 MFA 设备或其存储位置的任何访问都应记录和监视。
将电话号码添加到账户联系信息中
-
虽然有一些针对固定电话、SIP 和移动电话号码的可信攻击载体,但总体而言,这些载体的复杂性远超风险。
-
预置电话号码有多种选项,但我们推荐使用专用 SIM 卡和手机,并长期存放在安全位置。务必要确保负责支付此电话合约移动账单的团队了解该号码的重要性,即使该号码在很长时间内不会发送或接收任何电话。
-
重要的是,这个电话号码在企业内不为人所知。将该号码记录在Amazon联系信息控制台页面,并与您的账单团队共享其详细信息。不要将其记录在其他任何地方。这种方法有助于降低将与 SIM 卡绑定的电话号码移动到另一个 SIM 卡相关的攻击载体的风险。
-
根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。
-
对电话或其存储位置的任何访问都应记录和监视。
查看并跟踪谁有访问权限
-
为确保您保持对管理账户的访问权限,请定期审查您企业中有权访问与其相关联的电子邮件地址、密码、MFA 和电话号码的人员。使您的审查与现有业务流程保持一致。但是,有必要每月或每季度对这些信息进行一次审查,以确保只有正确的人才能访问。