그룹, 역할, 정책 설정을 위한 권장 사항

랜딩 존을 설정할 때 특정 계정에 액세스해야 하는 사용자와 그 이유에 대해 미리 결정하는 것이 좋습니다. 예를 들어 보안 계정은 보안팀만 액세스할 수 있어야 하고, 관리 계정은 클라우드 관리자 팀만 액세스할 수 있어야 하는 식입니다.

이 주제에 대한 자세한 내용은 을 참조하십시오. AWS Control Tower의 자격 증명 및 액세스 관리

권장 제한 사항

관리자가 AWS Control Tower 작업만 관리할 수 있도록 허용하는 IAM 역할 또는 정책을 설정하여 조직에 대한 관리 액세스 범위를 제한할 수 있습니다. 권장되는 접근 방식은 IAM 정책을 사용하는 것입니다. arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy AWSControlTowerServiceRolePolicy역할이 활성화되면 관리자는 AWS Control Tower만 관리할 수 있습니다. 각 계정에는 예방 규제 항목 및 SCP 관리에 적합한 액세스 권한과 탐지 규제 항목 관리를 위한 액세스 권한을 포함해야 AWS Config합니다. AWS Organizations

랜딩 존에서 공유 감사 계정을 설정할 때 해당 AWSSecurityAuditors 그룹을 계정의 타사 감사자에게 할당하는 것이 좋습니다. 이 그룹은 멤버에게 읽기 전용 권한을 부여합니다. 감사자의 업무 분리 요구 사항 준수를 위반할 수 있으므로 계정에는 감사 중인 환경에 대한 쓰기 권한이 없어야 합니다.

역할 신뢰 정책에 조건을 부과하여 AWS Control Tower에서 특정 역할과 상호 작용하는 계정 및 리소스를 제한할 수 있습니다. 역할에는 광범위한 액세스 권한이 허용되므로 AWSControlTowerAdmin 역할에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 을 참조하십시오. 역할 신뢰 관계를 위한 선택적 조건