Recomendações para configurar grupos, perfis e políticas

Conforme você configura sua zona de destino, é recomendável decidir antecipadamente quais usuários precisarão acessar determinadas contas e por quê. Por exemplo, uma conta de segurança deve ser acessível somente à equipe de segurança, a conta de gerenciamento deve ser acessível somente à equipe de administradores da nuvem, e assim por diante.

Consulte mais informações sobre esse tópico em Gerenciamento de identidade e acesso na AWS Control Tower.

Restrições recomendadas

Você pode restringir o escopo do acesso administrativo às suas organizações configurando uma IAM função ou política que permita aos administradores gerenciar somente as ações da AWS Control Tower. A abordagem recomendada é usar a IAM políticaarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Com a AWSControlTowerServiceRolePolicy função ativada, um administrador pode gerenciar somente o AWS Control Tower. Certifique-se de incluir acesso adequado AWS Organizations para gerenciar seus controles preventivos e acesso a SCPs AWS Config, para gerenciar controles de detetive, em cada conta.

Ao configurar a conta de auditoria compartilhada em sua zona de destino, recomendamos a atribuição do grupo AWSSecurityAuditors a quaisquer auditores externos de suas contas. Esse grupo concede permissão somente leitura a seus membros. Uma conta não deve ter permissões de gravação no ambiente em que está realizando auditoria, pois pode violar a conformidade com os requisitos de separação de funções para auditores.

Você pode impor condições nas políticas de confiança de sua função para restringir as contas e os recursos que interagem com determinadas funções na AWS Control Tower. É altamente recomendável que você restrinja o acesso ao perfil AWSControlTowerAdmin, pois ele permite amplas permissões de acesso. Consulte mais informações em Optional conditions for your role trust relationships.