Rekomendasi untuk menyiapkan grup, peran, dan kebijakan

Saat Anda mengatur landing zone, ada baiknya Anda memutuskan sebelumnya pengguna mana yang akan memerlukan akses ke akun tertentu dan mengapa. Misalnya, akun keamanan harus dapat diakses hanya oleh tim keamanan, akun manajemen harus dapat diakses hanya oleh tim administrator cloud, dan sebagainya.

Untuk informasi lebih lanjut tentang topik ini, lihatManajemen identitas dan akses di AWS Control Tower.

Pembatasan yang disarankan

Anda dapat membatasi cakupan akses administratif ke organisasi Anda dengan menyiapkan peran atau kebijakan IAM yang memungkinkan administrator mengelola tindakan AWS Control Tower saja. Pendekatan yang disarankan adalah dengan menggunakan kebijakan arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy IAM. Dengan AWSControlTowerServiceRolePolicy peran diaktifkan, administrator hanya dapat mengelola AWS Control Tower. Pastikan untuk menyertakan akses yang tepat AWS Organizations untuk mengelola kontrol pencegahan Anda, dan SCP, dan akses ke AWS Config, untuk mengelola kontrol detektif, di setiap akun.

Saat menyiapkan akun audit bersama di landing zone, sebaiknya tetapkan AWSSecurityAuditors grup tersebut ke auditor pihak ketiga mana pun di akun Anda. Grup ini memberikan izin read-only kepada anggotanya. Akun tidak boleh memiliki izin menulis tentang lingkungan yang diaudit, karena dapat melanggar kepatuhan terhadap persyaratan Pemisahan Tugas untuk auditor.

Anda dapat menerapkan ketentuan dalam kebijakan kepercayaan peran Anda, untuk membatasi akun dan sumber daya yang berinteraksi dengan peran tertentu di AWS Control Tower. Kami sangat menyarankan Anda membatasi akses ke AWSControlTowerAdmin peran, karena memungkinkan izin akses yang luas. untuk informasi selengkapnya, lihat Ketentuan opsional untuk hubungan kepercayaan peran Anda.