Recommandations relatives à la configuration de groupes, rôles et stratégies - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations relatives à la configuration de groupes, rôles et stratégies

Lorsque vous configurez votre zone de destination, il est conseillé de décider à l'avance quels utilisateurs auront besoin d'accéder à certains comptes et pourquoi. Par exemple, un compte de sécurité doit être accessible uniquement à l'équipe de sécurité, le compte de gestion doit être accessible uniquement à l'équipe des administrateurs du cloud, etc.

Pour de plus amples informations sur ce sujet, consultez.Identity and Access Management dans AWS Control Tower.

Restrictions recommandées

Vous pouvez restreindre l'étendue de l'accès administratif à vos organisations en définissant un rôle ou une politique IAM qui permet aux administrateurs de gérer uniquement les actions de la AWS Control Tower. L'approche recommandée consiste à utiliser la stratégie IAM arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Avec l’AWSControlTowerServiceRolePolicyrôle activé, un administrateur peut uniquement gérer AWS Control Tower. Assurez-vous d'inclure un accès approprié àAWS Organizationspour gérer vos garde-corps préventifs, vos SCP et l'accès àAWS Config, pour gérer les garde-corps des détectives, sur chaque compte.

Lorsque vous configurez le compte d'audit partagé dans votre zone de destination, nous vous recommandons d'affecter le groupe AWSSecurityAuditors à des auditeurs tiers de vos comptes. Ce groupe donne à ses membres l'autorisation en lecture seule. Un compte ne doit pas disposer d'autorisations d'écriture sur l'environnement qu'il vérifie, car il peut enfreindre la conformité aux exigences de séparation des fonctions pour les auditeurs.

Vous pouvez imposer des conditions dans vos politiques de confiance en matière de rôles afin de restreindre les comptes et les ressources qui interagissent avec certains rôles dans AWS Control Tower. Nous vous recommandons vivement de restreindre l'accès au pluginAWSControlTowerAdminrôle, car il autorise des autorisations d'accès étendues. Pour plus d'informations, voirConditions facultatives pour votre rôle et vos relations de confiance.