Melhores práticas para administradores do AWS Control Tower - AWS Control Tower
Explicando o acesso aos usuáriosExplicando o acesso aos recursosExplicando os controles preventivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas para administradores do AWS Control Tower

Este tópico é destinado principalmente aos administradores de contas de gerenciamento.

Os administradores de contas de gerenciamento são responsáveis por explicar algumas tarefas que os controles do AWS Control Tower impedem que seus administradores de contas membros realizem. Este tópico descreve algumas das melhores práticas e procedimentos para transferir esse conhecimento e fornece outras dicas para configurar e manter seu ambiente do AWS Control Tower de forma eficiente.

Explicando o acesso aos usuários

O console do AWS Control Tower está disponível somente para usuários com as permissões de administrador da conta de gerenciamento. Somente esses usuários podem realizar trabalhos administrativos em sua landing zone. De acordo com as melhores práticas, isso significa que a maioria dos seus usuários e administradores de contas membros nunca verão o console do AWS Control Tower. Como membro do grupo de administradores de contas de gerenciamento, é sua responsabilidade explicar as seguintes informações aos usuários e administradores de suas contas de membros, conforme apropriado.

  • Explique a quais AWS recursos os usuários e administradores têm acesso na landing zone.

  • Liste os controles preventivos que se aplicam a cada unidade organizacional (OU) para que os outros administradores possam planejar e executar suas AWS cargas de trabalho adequadamente.

Explicando o acesso aos recursos

Alguns administradores e outros usuários podem precisar de uma explicação sobre os AWS recursos aos quais eles têm acesso na sua landing zone. Esse acesso pode incluir acesso programático e acesso com base no console. De um modo geral, o acesso de leitura e gravação aos AWS recursos é permitido. Para realizar trabalhos internos AWS, seus usuários precisam de algum nível de acesso aos serviços específicos de que precisam para realizar seus trabalhos.

Alguns usuários, como seus AWS desenvolvedores, talvez precisem conhecer os recursos aos quais têm acesso para criar soluções de engenharia. Outros usuários, como os usuários finais dos aplicativos executados nos AWS serviços, não precisam conhecer AWS os recursos em sua landing zone.

AWS oferece ferramentas para identificar o escopo do acesso de um usuário aos AWS recursos. Depois de identificar o escopo do acesso de um usuário, você poderá compartilhar essas informações com o usuário, de acordo com as políticas de gerenciamento de informações de sua organização. Para obter mais informações sobre essas ferramentas, consulte os links a seguir.

  • AWS consultor de acesso — A ferramenta consultor de acesso AWS Identity and Access Management (IAM) permite determinar as permissões que seus desenvolvedores têm analisando o último registro de data e hora em que uma entidade do IAM, como um usuário, uma função ou um grupo, chamou um AWS serviço. É possível auditar o acesso ao serviço e remover as permissões desnecessárias, além de automatizar o processo, se necessário. Para obter mais informações, consulte nossa postagem no blog sobre AWS segurança.

  • Simulador de políticas do IAM — Com o simulador de políticas do IAM, você pode testar e solucionar problemas de políticas baseadas em IAM e baseadas em recursos. Para obter mais informações, consulte Teste de políticas do IAM com o simulador de políticas do IAM.

  • AWS CloudTrail registros — Você pode revisar AWS CloudTrail os registros para ver as ações realizadas por um usuário, função ou AWS service (Serviço da AWS). Para obter mais informações sobre CloudTrail, consulte o GuiaAWS CloudTrail do usuário.

    As ações tomadas pelos administradores da zona de pouso do AWS Control Tower podem ser visualizadas na conta de gerenciamento da zona de pouso. As ações tomadas pelos administradores e usuários da conta do membro podem ser visualizadas na conta de arquivamento de log compartilhado.

    Você pode ver uma tabela resumida dos eventos do AWS Control Tower na página Atividades.

Explicando os controles preventivos

Um controle preventivo garante que as contas da sua organização mantenham a conformidade com suas políticas corporativas. O status de um controle preventivo é obrigatório ou não ativado. Um controle preventivo evita violações de políticas usando políticas de controle de serviços (SCPs). Em comparação, um controle de detetive informa sobre vários eventos ou estados que existem, por meio de regras definidas AWS Config .

Alguns de seus usuários, como AWS desenvolvedores, talvez precisem conhecer os controles preventivos que se aplicam a todas as contas e OUs que eles usam, para que possam criar soluções de engenharia. O procedimento a seguir oferece algumas orientações sobre como fornecer essas informações para os usuários certos, de acordo com as políticas de gerenciamento de informações da organização.

nota

Esse procedimento pressupõe que você já tenha criado pelo menos uma UO secundária em sua landing zone, bem como pelo menos um AWS IAM Identity Center usuário.

Para mostrar controles preventivos para usuários que precisam saber

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower/.

  2. No painel de navegação à esquerda, escolha Organização.

  3. Na tabela, escolha o nome de uma das OUs para as quais o usuário precisa de informações sobre os controles aplicáveis.

  4. Anote o nome da OU e os controles que se aplicam a essa OU.

  5. Repita as duas etapas anteriores para cada UO sobre a qual o usuário precisa de informações.

Para obter informações detalhadas sobre os controles e suas funções, consulteSobre os controles no AWS Control Tower.