Recomendações para configurar grupos, funções e políticas

Conforme você configura sua zona de destino, é recomendável decidir antecipadamente quais usuários precisarão acessar determinadas contas e por quê. Por exemplo, uma conta de segurança deve estar acessível somente para a equipe de segurança, a conta de gerenciamento deve estar acessível somente para a equipe de administradores de nuvem e assim por diante.

Para obter mais informações sobre esse tópico, consulteGerenciamento de identidade e acesso no AWS Control Tower.

Restrições recomendadas

Você pode restringir o escopo do acesso administrativo às suas organizações configurando uma função ou política do IAM que permita aos administradores gerenciar somente as ações do AWS Control Tower. A abordagem recomendada é usar a política do IAMarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Com a AWSControlTowerServiceRolePolicy função habilitada, um administrador pode gerenciar somente o AWS Control Tower. Certifique-se de incluir acesso adequado AWS Organizations para gerenciar seus controles preventivos e SCPs, e acesso a AWS Config, para gerenciar controles de detetive, em cada conta.

Ao configurar a conta de auditoria compartilhada em sua zona de destino, recomendamos a atribuição do grupo AWSSecurityAuditors a quaisquer auditores externos de suas contas. Esse grupo concede permissão somente leitura a seus membros. Uma conta não deve ter permissões de gravação no ambiente em que está realizando auditoria, pois pode violar a conformidade com os requisitos de separação de funções para auditores.

Você pode impor condições nas políticas de confiança de sua função para restringir as contas e os recursos que interagem com determinadas funções no AWS Control Tower. É altamente recomendável que você restrinja o acesso à AWSControlTowerAdmin função, pois ela permite amplas permissões de acesso. Para obter mais informações, consulte. Condições opcionais para sua função, relações de confiança