グループ、ロール、ポリシーを設定する上での推奨事項 - AWS Control Tower

グループ、ロール、ポリシーを設定する上での推奨事項

ランディングゾーンを設定する際には、どのユーザーが特定のアカウントにアクセスする必要があるのか、その理由を事前に決定することをお勧めします。例えば、セキュリティアカウントはセキュリティチームだけがアクセスできるようにし、管理アカウントはクラウド管理者のチームのみがアクセスできるようにする必要があります。

このトピックの詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

推奨される制限事項

管理者が AWS Control Tower アクションのみを管理できるようにする IAM ロールまたはポリシーを設定することで、組織への管理アクセスの範囲を制限できます。推奨されるアプローチは、IAM ポリシー arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy を使用することです。AWSControlTowerServiceRolePolicy ロールを有効にすると、管理者は AWS Control Tower のみを管理できます。各アカウントには、予防用ガードレールと SCP を管理するための AWS Organizations への適切なアクセス、および検出用ガードレールを管理するための AWS Config へのアクセスを含めるようにしてください。

ランディングゾーンで共有監査アカウントを設定する場合は、アカウントの第三者監査人に AWSSecurityAuditors グループを割り当てることをお勧めします。このグループは、メンバーに読み取り専用アクセス許可を与えます。アカウントには、監査対象の環境に対する書き込みアクセス許可があってはなりません。これは、監査人の職務分離要件の遵守に違反する可能性があるためです。

AWS Control Tower の特定のロールとやり取りするアカウントとリソースを制限するために、ロールの信頼ポリシーに条件を課すことができます。AWSControlTowerAdmin ロールは幅広いアクセスを許可するため、このロールへのアクセスを制限することを強くお勧めします。詳細については、「ロールの信頼関係のオプションの条件」を参照してください。