Consigli per la configurazione di gruppi, ruoli e politiche

Quando configuri la tua landing zone, è consigliabile decidere in anticipo quali utenti dovranno accedere a determinati account e perché. Ad esempio, un account di sicurezza dovrebbe essere accessibile solo al team di sicurezza, l'account di gestione dovrebbe essere accessibile solo al team degli amministratori del cloud e così via.

Per ulteriori informazioni su questo argomento, vedere. Gestione delle identità e degli accessi in AWS Control Tower

Restrizioni consigliate

Puoi limitare l'ambito dell'accesso amministrativo alle tue organizzazioni impostando un ruolo o una policy IAM che consenta agli amministratori di gestire solo le azioni di AWS Control Tower. L'approccio consigliato consiste nell'utilizzare la policy arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy IAM. Con il AWSControlTowerServiceRolePolicy ruolo abilitato, un amministratore può gestire solo AWS Control Tower. Assicurati di includere in ogni account l'accesso appropriato AWS Organizations per la gestione dei controlli preventivi e degli SCP e l'accesso a AWS Config, per la gestione dei controlli investigativi.

Quando imposti l'account di controllo condiviso nella tua landing zone, ti consigliamo di assegnare il gruppo AWSSecurityAuditors a tutti i revisori di terze parti dei tuoi account. Questo gruppo dà ai suoi membri l'autorizzazione di sola lettura. Un account non deve disporre delle autorizzazioni di scrittura per l'ambiente che sta controllando perché può violare la conformità ai requisiti della "separazione dei compiti" per i revisori.

Puoi imporre condizioni nelle policy di fiducia dei ruoli, per limitare gli account e le risorse che interagiscono con determinati ruoli in AWS Control Tower. Ti consigliamo vivamente di limitare l'accesso al AWSControlTowerAdmin ruolo, perché consente ampie autorizzazioni di accesso. Per ulteriori informazioni, consulta Condizioni opzionali per le relazioni di fiducia tra ruoli.