As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas de segurança para Conta da AWS admnistradoras
Se você for um administrador de conta que criou uma nova Conta da AWS, recomendamos as etapas a seguir para ajudar seus usuários a seguir as melhores práticas de AWS segurança ao fazer login.
-
Faça login como usuário raiz para habilitar a autenticação multifator (MFA) e criar AWS um usuário administrativo no IAM Identity Center, caso ainda não tenha feito isso. Em seguida, proteja suas credenciais raiz e não as use para tarefas diárias.
-
Faça login como Conta da AWS administrador e configure as seguintes identidades:
-
Crie usuários com privilégios mínimos para outros humanos.
-
Configure credenciais temporárias para workloads.
-
Crie chaves de acesso somente para casos de uso que exijam credenciais de longo prazo.
-
-
Adicione permissões para conceder acesso a essas identidades. Você pode começar com políticas AWS gerenciadas e passar para as permissões de privilégios mínimos.
-
Adicione políticas baseadas em identidade aos perfis do IAM usados para workloads.
-
Adicione políticas baseadas em identidades para usuários do IAM para casos de uso que exijam credenciais de longo prazo.
-
Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
-
Salve e compartilhe informações sobre Faça login no Console de gerenciamento da AWS. Essas informações variam de acordo com o tipo de identidade que você criou.
-
Mantenha o endereço de e-mail do usuário raiz e o número de telefone de contato da conta principal atualizados, isso garante que você possa receber notificações importantes relacionadas à conta e à segurança.
-
Analise as melhores práticas de segurança no IAM para saber mais sobre as melhores práticas adicionais de gerenciamento de identidade e acesso.
-
Implemente controles de acesso baseados em rede: use políticas Sign-in baseadas em recursos ou políticas de controle de recursos (RCPs) para restringir o login no console a solicitações de intervalos de endereços IP ou VPCs aprovados. Para ambientes que usam o Console Private Access, configure as políticas de VPC endpoint para controlar quais contas podem ser acessadas por meio de seus endpoints (consulte Console Private Access). Juntas, políticas Sign-in baseadas em recursos, RCPs e políticas de VPC endpoint fornecem controles de rede em camadas em diferentes pontos de aplicação. Para usuários root, Sign-in as políticas bloqueiam totalmente a página de credenciais em caso de tentativas de acesso de redes não autorizadas. AWS recomenda configurar os diretores excluídos para acesso à recuperação para evitar o bloqueio da conta, embora isso seja opcional. Para obter mais informações, consulte Controle do acesso ao console com políticas baseadas em recursos e políticas de controle de recursos.