Recommandations pour la configuration de groupes, de rôles et de politiques - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations pour la configuration de groupes, de rôles et de politiques

Lorsque vous configurez votre zone de destination, il est conseillé de décider à l'avance quels utilisateurs auront besoin d'accéder à certains comptes et pourquoi. Par exemple, un compte de sécurité ne doit être accessible qu'à l'équipe de sécurité, le compte de gestion doit être accessible uniquement à l'équipe des administrateurs du cloud, etc.

Pour plus d'informations sur ce sujet, consultezGestion des identités et des accès dans AWS Control Tower.

Restrictions recommandées

Vous pouvez restreindre l'étendue de l'accès administratif à vos organisations en configurant un rôle ou une politique IAM qui permet aux administrateurs de gérer uniquement les actions d'AWS Control Tower. L'approche recommandée consiste à utiliser la politique arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy IAM. Lorsque le AWSControlTowerServiceRolePolicy rôle est activé, un administrateur peut uniquement gérer AWS Control Tower. Assurez-vous d'inclure un accès approprié AWS Organizations pour gérer vos contrôles préventifs et vos SCP, ainsi que l'accès à AWS Config, pour gérer les contrôles de détection, dans chaque compte.

Lorsque vous configurez le compte d'audit partagé dans votre zone de destination, nous vous recommandons d'affecter le groupe AWSSecurityAuditors à des auditeurs tiers de vos comptes. Ce groupe donne à ses membres l'autorisation en lecture seule. Un compte ne doit pas disposer d'autorisations d'écriture sur l'environnement qu'il vérifie, car il peut enfreindre la conformité aux exigences de séparation des fonctions pour les auditeurs.

Vous pouvez imposer des conditions dans vos politiques de confiance en matière de rôles, afin de restreindre les comptes et les ressources qui interagissent avec certains rôles dans AWS Control Tower. Nous vous recommandons vivement de restreindre l'accès au AWSControlTowerAdmin rôle, car il autorise des autorisations d'accès étendues. Pour plus d'informations, consultez. Conditions facultatives pour vos relations de confiance