グループ、ロール、ポリシーを設定する上での推奨事項

ランディングゾーンを設定する際には、どのユーザーが特定のアカウントにアクセスする必要があるのか、その理由を事前に決定することをお勧めします。例えば、セキュリティアカウントはセキュリティチームだけがアクセスできるようにし、管理アカウントはクラウド管理者のチームのみがアクセスできるようにする必要があります。

このトピックの詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

推奨される制限事項

管理者が AWS Control Tower アクションのみを管理できるようにする IAM ロールまたはポリシーを設定することで、組織への管理アクセスの範囲を制限できます。推奨されるアプローチは、IAM ポリシー arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy を使用することです。AWSControlTowerServiceRolePolicy ロールを有効にすると、管理者は AWS Control Tower のみを管理できます。各アカウントには、予防統制や SCP AWS Organizations を管理するための適切なアクセス権と、探偵的統制を管理するためのアクセス権を含めるようにしてください。 AWS Config

ランディングゾーンで共有監査アカウントを設定する場合は、アカウントの第三者監査人に AWSSecurityAuditors グループを割り当てることをお勧めします。このグループは、メンバーに読み取り専用アクセス許可を与えます。アカウントには、監査対象の環境に対する書き込みアクセス許可があってはなりません。これは、監査人の職務分離要件の遵守に違反する可能性があるためです。

AWS Control Tower の特定のロールとやり取りするアカウントとリソースを制限するために、ロールの信頼ポリシーに条件を課すことができます。幅広いアクセス権限を許可するため、AWSControlTowerAdminロールへのアクセスを制限することを強くお勧めします。詳細については、「ロールの信頼関係のオプション条件」を参照してください。