Recomendaciones para configurar grupos, funciones y políticas

A medida que configura su zona de inicio, es recomendable decidir de antemano qué usuarios requerirán acceso a ciertas cuentas y por qué. Por ejemplo, solo el equipo de seguridad debe poder acceder a una cuenta de seguridad, solo el equipo de administradores de la nube debe poder acceder a la cuenta de administración, etc.

Para obtener más información sobre este tema, consulte. Gestión de identidad y acceso en AWS Control Tower

Restricciones recomendadas

Puede restringir el alcance del acceso administrativo a sus organizaciones configurando un IAM rol o una política que permita a los administradores gestionar únicamente las acciones de la Torre de AWS Control Tower. El enfoque recomendado es utilizar la IAM políticaarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Con la AWSControlTowerServiceRolePolicy función habilitada, un administrador solo puede administrar la Torre de AWS Control. Asegúrese de incluir el acceso adecuado a AWS Organizations para gestionar sus controles preventivos SCPs y el acceso a AWS Config, para gestionar los controles de detección, en cada cuenta.

Cuando configure la cuenta de auditoría compartida en su zona de inicio, le recomendamos que asigne el grupo AWSSecurityAuditors a cualquier auditor externo de sus cuentas. Este grupo concede a sus miembros permiso de solo lectura. Una cuenta no debe tener permisos de escritura en el entorno que está auditando, porque puede infringir el cumplimiento de los requisitos de separación de funciones para los auditores.

Puede imponer condiciones en las políticas de confianza de sus funciones para restringir las cuentas y los recursos que interactúan con determinadas funciones en AWS Control Tower. Le recomendamos encarecidamente que restrinja el acceso al AWSControlTowerAdmin rol, ya que permite permisos de acceso amplios. Para obtener más información, consulte Condiciones opcionales para las relaciones de confianza de su rol.