本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSControlTowerExecution 角色解释
AWSControlTowerExecution 角色必须存在于所有注册的账户中。它允许 AWS Control Tower 管理您的各个账户,并向审计和日志存档账户报告有关这些账户的信息。
可以通过多种方式将 AWSControlTowerExecution 角色添加到账户中,如下所示:
-
对于安全 OU 中的账户(有时称为核心账户),AWS Control Tower 会在初始设置 AWS Control Tower 时创建角色。
-
对于通过 AWS Control Tower 控制台创建的 Account Factory 账户,AWS Control Tower 会在创建账户时创建此角色。
-
对于单一账户注册,我们要求客户手动创建角色,然后在 AWS Control Tower 中注册账户。
-
将监管范围扩展到 OU 时,AWS Control Tower 使用 StackSet-AWSControl TowerExecutionRole 在该组织单位的所有账户中创建角色。
AWSControlTowerExecution 角色的目的:
-
AWSControlTowerExecution允许您使用脚本和 Lambda 函数自动创建和注册账户。 -
AWSControlTowerExecution可帮助您配置组织的日志记录,以便每个账户的所有日志都发送到日志记录账户。 -
AWSControlTowerExecution允许您在 AWS Control Tower 中注册个人账户。首先,您必须将AWSControlTowerExecution角色添加到该账户。有关如何添加角色的步骤,请参阅 手动将所需的 IAM 角色添加到现有 AWS 账户 并进行注册。
该AWSControlTowerExecution角色的工作原理 OUs:
AWSControlTowerExecution 角色可确保您选择的 AWS Control Tower 控件自动应用于您组织内每个 OU 中的每个个人账户,以及您在 AWS Control Tower 中创建的每个新账户。因此:
-
您可以根据 AWS Control Tower 控件所包含的审计和日志记录功能,更轻松地提供合规性和安全性报告。
-
您的安全性和合规性团队可以验证是否满足所有要求,并且没有发生组织偏移。
有关偏移的更多信息,请参阅 Detect and resolve drift in AWS Control Tower。
总而言之,AWSControlTowerExecution 角色及其关联策略可让您灵活地控制整个组织的安全性和合规性。因此,发生安全漏洞或违反协议的可能性较小。
