Security Hub

Настройка нескольких учетных записей AWS

У меня есть личная учетная запись AWS,и я управляю несколькими учетными записями AWS для своей компании.AWS не разрешает использовать один и тот же номер телефона в нескольких учетных записях.Каковы лучшие практики для этого сценария? И следует ли использовать личный номер телефона для принадлежащих компании учетных записей AWS?





Лучшей практикой является использование AWS Organizations для управления несколькими учетными записями.Вы можете легко добавить учетные записи,привязанные к вашей организации,используя только адрес электронной почты.

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html




Как уже отмечал hayao-k , AWS Organizations — лучший способ управления несколькими учетными записями для одной компании.

Однако я бы настоятельно рекомендовал не использовать личные счета/номера при управлении счетами AWS для компании.Все может стать очень неприятным/законным,если вы расстанетесь на плохих условиях,особенно если все по-прежнему связано с вами лично.Вам лучше создать новую (бесплатную)учетную запись "Root" для компании,а затем добавить в нее существующие учетные записи.

Вы имеете в виду невозможность использовать один и тот же номер телефона для MFA на основе SMS для нескольких учетных записей? Если это так, я хотел бы указать вам на некоторые новости, которые появились несколько лет назад, когда NIST изменил свою политику, чтобы не советовать использовать SMS для MFA .

Менеджеры паролей, такие как 1Password , имеют специальные учетные записи Teams, которые не только хранят учетные данные, но и предоставляют виртуальные устройства MFA для использования вместо SMS. Учетные данные могут быть безопасно переданы определенным сотрудникам компании, которым требуется вход с правами суперпользователя для учетных записей AWS.

При организации нескольких учетных записей в AWS Organisations я бы также рекомендовал использовать аппаратный MFA-токен для основной "корневой" учетной записи компании.