Bonnes pratiques destinées aux administrateurs AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques destinées aux administrateurs AWS Control Tower

Cette rubrique s'adresse principalement aux administrateurs de comptes de gestion.

Les administrateurs de comptes de gestion sont chargés d'expliquer certaines tâches que les garde-fous de la AWS Control Tower empêchent les administrateurs de leurs comptes membres d'effectuer. Cette rubrique décrit certaines bonnes pratiques et procédures pour transférer ces connaissances et donne d'autres conseils pour configurer et gérer efficacement votre environnement AWS Control Tower.

Explication de l'accès aux utilisateurs

La console AWS Control Tower est uniquement disponible pour les utilisateurs disposant des autorisations d'administrateur du compte de gestion. Seuls ces utilisateurs peuvent effectuer des tâches administratives dans votre landing zone. Conformément aux bonnes pratiques, cela signifie que la majorité de vos utilisateurs et administrateurs de comptes membres ne verront jamais la console AWS Control Tower. En tant que membre du groupe des administrateurs de comptes de gestion, il est de votre responsabilité d'expliquer les informations suivantes aux utilisateurs et aux administrateurs de vos comptes de membres, le cas échéant.

  • Expliquer lequelAWSressources auxquelles les utilisateurs et les administrateurs ont accès dans la landing zone.

  • Répertoriez les garde-fous préventifs qui s'appliquent à chaque unité organisationnelle (UO) afin que les autres administrateurs puissent planifier et exécuter leurAWSles applications en conséquence.

Explication de l'accès aux ressources

Certains administrateurs et autres utilisateurs peuvent avoir besoin d'une explication deAWSressources auxquelles ils ont accès dans votre landing zone. Cet accès peut inclure un accès par programmation et un accès basé sur la console. D'une manière générale, accès en lecture et en écriture pourAWSles ressources sont autorisées. Pour effectuer des travaux à l'intérieurAWS, vos utilisateurs ont besoin d'un certain niveau d'accès aux services spécifiques dont ils ont besoin pour effectuer leur travail.

Certains utilisateurs, tels que votreAWSles développeurs peuvent avoir besoin de connaître les ressources auxquelles ils ont accès afin de créer des solutions d'ingénierie. Autres utilisateurs, tels que les utilisateurs finaux des applications qui s'exécutent surAWSServices, vous n'avez pas besoin de connaîtreAWSressources au sein de votre landing zone.

AWSpropose des outils permettant d'identifier l'étendue de laAWSAccès aux ressources. Une fois que vous avez identifié l'étendue de l'accès d'un utilisateur, vous pouvez partager ces informations avec l'utilisateur, conformément aux stratégies de gestion des informations de votre organisation. Pour de plus amples informations sur ces outils, veuillez consulter les rubriques suivantes.

  • AWSAccès advisor— LeAWS Identity and Access ManagementL'outil Access Advisor (IAM) vous permet de déterminer les autorisations dont disposent vos développeurs en analysant le dernier horodatage auquel une entité IAM, telle qu'un utilisateur, un rôle ou un groupe, a appeléAWSweb. Vous pouvez auditer l'accès au service et supprimer les autorisations inutiles, et vous pouvez automatiser le processus si nécessaire. Pour plus d'informations, veuillez consulter la rubriquenotreAWSArticle de blog sur la.

  • Simulateur de politique IAM— Avec le simulateur de politique IAM, vous pouvez tester et dépanner les politiques basées sur l'IAM et sur les ressources. Pour plus d'informations, veuillez consulter la rubriqueTester les politiques IAM avec le simulateur de politiques IAM.

  • AWS CloudTrailjournaux— Vous pouvez consulterAWS CloudTrail journaux pour consulter les actions réalisées par un utilisateur, un rôle ouAWSweb. Pour plus d'informations sur CloudTrail, consultez le pluginAWS CloudTrailGuide de l'utilisateur.

    Les actions entreprises par les administrateurs de landing zone de la AWS Control Tower sont visibles dans le compte de gestion de la landing zone Les actions entreprises par les administrateurs de comptes membres et les utilisateurs sont visibles dans le compte d'archivage des journaux partagés.

    Vous pouvez consulter un tableau récapitulatif des événements liés à la AWS Control Tower dans leActivitéspage.

Explication des barrières de sécurité de prévention

Une barrière de sécurité de prévention garantit que les comptes de votre organisation restent conformes aux politiques de votre entreprise. L'état d'une barrière de sécurité de prévention est soit exécutée soit non activée. Un garde-corps préventif empêche les violations de politique à l'aide de politiques de contrôle des services (SCP). En comparaison, un garde-corps de détective vous informe de divers événements ou états existants, au moyen deAWS ConfigRègles.

Certains de vos utilisateurs, tels queAWSles développeurs peuvent avoir besoin de connaître les garde-fous préventifs qui s'appliquent à tous les comptes et unités d'organisation qu'ils utilisent, afin de créer des solutions d'ingénierie. La procédure suivante comporte des conseils sur la façon de fournir ces informations aux utilisateurs concernés, conformément aux politiques de gestion des informations de votre organisation.

Note

Cette procédure suppose que vous avez déjà créé au moins une unité d'organisation enfant dans votre landing zone, ainsi qu'au moins uneAWS IAM Identity Center (successor to AWS Single Sign-On)Utilisateur.

Pour montrer les barrières de sécurité de prévention aux utilisateurs ayant besoin de les connaître

  1. Connectez-vous à la console AWS Control Tower ici :https://console.aws.amazon.com/controltower/.

  2. Dans le volet de navigation de gauche, choisissezOrganization.

  3. Dans le tableau, choisissez le nom de l'une des unités d'organisation pour laquelle votre utilisateur a besoin d'informations concernant les barrières de sécurité applicables.

  4. Notez le nom de l'unité d'organisation et des barrières de sécurité qui s'appliquent à cette unité d'organisation.

  5. Répétez les deux étapes précédentes pour chaque unité d'organisation pour laquelle votre utilisateur a besoin d'informations.

Pour de plus amples informations sur les barrières de sécurité et leurs fonctions, veuillez consulter Clapères de déploiement dans AWS Control Tower.