Empfehlungen für die Einrichtung von Gruppen, Rollen und Richtlinien - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Empfehlungen für die Einrichtung von Gruppen, Rollen und Richtlinien

Wenn Sie Ihre Landing Zone einrichten, sollten Sie im Voraus entscheiden, welche Benutzer Zugriff auf bestimmte Konten benötigen und warum. Ein Sicherheitskonto sollte beispielsweise nur für das Sicherheitsteam zugänglich sein, das Verwaltungskonto sollte nur für das Cloud-Administratorteam zugänglich sein usw.

Weitere Informationen zu diesem Thema finden Sie unter. Identitäts- und Zugriffsmanagement in AWS Control Tower

Empfohlene Einschränkungen

Sie können den Umfang des Administratorzugriffs auf Ihre Organisationen einschränken, indem Sie eine IAM-Rolle oder -Richtlinie einrichten, die es Administratoren ermöglicht, nur AWS Control Tower Tower-Aktionen zu verwalten. Der empfohlene Ansatz besteht darin, die IAM-Richtlinie zu verwenden. arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy Wenn die AWSControlTowerServiceRolePolicy Rolle aktiviert ist, kann ein Administrator nur AWS Control Tower verwalten. Stellen Sie sicher, dass Sie in jedem Konto den entsprechenden Zugriff auf AWS Organizations für die Verwaltung Ihrer präventiven Kontrollen und SCPs sowie den AWS Config Zugriff auf für die Verwaltung detektiver Kontrollen angeben.

Wenn Sie das freigegebene Auditkonto in Ihrer Landing Zone einrichten, empfehlen wir, die AWSSecurityAuditors-Gruppe allen externen Auditoren Ihrer Konten zuzuweisen. Diese Gruppe erteilt ihren Mitgliedern eine schreibgeschützte Berechtigung. Ein Konto darf keine Schreibberechtigungen für die Umgebung haben, die von ihm überwacht wird, da dies gegen die Einhaltung der Anforderungen der Aufgabentrennung für Prüfer verstoßen kann.

Sie können in Ihren Richtlinien zur Rollenvertrauensstellung Bedingungen festlegen, um die Konten und Ressourcen einzuschränken, die mit bestimmten Rollen in AWS Control Tower interagieren. Wir empfehlen dringend, den Zugriff auf die AWSControlTowerAdmin Rolle einzuschränken, da dies weitreichende Zugriffsberechtigungen ermöglicht. Weitere Informationen finden Sie unter Optionale Bedingungen für Ihre Rollenvertrauensbeziehungen.