Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Recomendações para configurar grupos, perfis e políticas

PDF
RSS
Modo de foco
Recomendações para configurar grupos, perfis e políticas - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conforme você configura sua zona de destino, é recomendável decidir antecipadamente quais usuários precisarão acessar determinadas contas e por quê. Por exemplo, uma conta de segurança deve ser acessível somente à equipe de segurança, a conta de gerenciamento deve ser acessível somente à equipe de administradores da nuvem, e assim por diante.

Consulte mais informações sobre esse tópico em Gerenciamento de identidade e acesso no AWS Control Tower.

Restrições recomendadas

Você pode restringir o escopo do acesso administrativo às suas organizações configurando um perfil ou uma política do IAM que permita que os administradores gerenciem somente ações do AWS Control Tower. A abordagem recomendada é usar a política do IAM arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Com o perfil AWSControlTowerServiceRolePolicy habilitado, um administrador pode gerenciar somente o AWS Control Tower. Certifique-se de incluir acesso adequado AWS Organizations para gerenciar seus controles preventivos e acesso a SCPs AWS Config, para gerenciar controles de detetive, em cada conta.

Ao configurar a conta de auditoria compartilhada em sua zona de destino, recomendamos a atribuição do grupo AWSSecurityAuditors a quaisquer auditores externos de suas contas. Esse grupo concede permissão somente leitura a seus membros. Uma conta não deve ter permissões de gravação no ambiente em que está realizando auditoria, pois pode violar a conformidade com os requisitos de separação de funções para auditores.

Você pode impor condições nas políticas de confiança do perfil para restringir as contas e os recursos que interagem com determinados perfis no AWS Control Tower. É altamente recomendável que você restrinja o acesso ao perfil AWSControlTowerAdmin, pois ele permite amplas permissões de acesso. Consulte mais informações em Optional conditions for your role trust relationships.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.