本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本主題主要適用於管理帳戶管理員。
管理帳戶管理員負責解釋 AWS Control Tower 控制的一些任務,以防止其成員帳戶管理員執行。本主題說明一些傳輸此知識的最佳實務和程序,並提供其他秘訣,讓您有效率地設定和維護 AWS Control Tower 環境。
向使用者說明存取權
AWS Control Tower 主控台僅適用於具有管理帳戶管理員許可的使用者。只有這些使用者可以在您的登陸區域內執行管理工作。根據最佳實務,這表示您的大多數使用者和成員帳戶管理員永遠不會看到 AWS Control Tower 主控台。身為管理帳戶管理員群組的成員,您有責任視需要向您成員帳戶的使用者和管理員解釋以下資訊。
-
說明使用者和管理員在登陸區域內可存取 AWS 的資源。
-
列出適用於每個組織單位 (OU) 的預防性控制,以便其他管理員可以相應地規劃和執行其 AWS 工作負載。
說明資源存取
有些管理員和其他使用者可能需要解釋其在您的登陸區域中可存取 AWS 的資源。此存取可以包括程式設計存取和以主控台為基礎的存取。一般而言,允許 AWS 資源的讀取存取和寫入存取。若要在 內執行工作 AWS,您的使用者需要某種層級的存取權,才能執行其任務所需的特定服務。
有些使用者,例如您的 AWS 開發人員,可能需要了解他們可存取的資源,以便他們能夠建立工程解決方案。其他使用者,例如在 AWS 服務上執行的應用程式最終使用者,不需要了解登陸區域中 AWS 的資源。
AWS 提供工具來識別使用者 AWS 資源存取的範圍。識別使用者存取的範圍之後,您可以根據組織的資訊管理政策,與使用者分享該資訊。如需這些工具的詳細資訊,請參閱下列連結。
-
AWS 存取建議程式 – AWS Identity and Access Management (IAM) 存取建議程式工具可讓您在 IAM 實體,例如使用者、角色或群組,稱為 AWS 服務時,透過分析上次時間戳記來判斷開發人員擁有的許可。您可以稽核服務存取和移除不必要的權限,而且可以視需要自動化程序。如需詳細資訊,請參閱我們的 AWS 安全部落格文章
。 -
IAM 政策模擬器 – 使用 IAM 政策模擬器,您可以測試和疑難排解 IAM 型和資源型政策。如需詳細資訊,請參閱使用 IAM 政策模擬器測試 IAM 政策。
-
AWS CloudTrail 日誌 – 您可以檢閱 AWS CloudTrail 日誌,以查看使用者、角色或 採取的動作 AWS 服務。如需有關 CloudTrail 的相關資訊,請參閱 AWS CloudTrail 使用者指南。
AWS Control Tower 登陸區域管理員採取的動作可在登陸區域管理帳戶中檢視。成員帳戶管理員和使用者採取的動作可在共用日誌封存帳戶中檢視。
說明預防性控制
預防性控制可確保組織的帳戶持續遵守您的公司政策。預防性控制的狀態為強制執行或未啟用。預防性控制使用服務控制政策 (SCPs來防止違反政策。相比之下,偵測控制會透過定義的 AWS Config 規則,通知您存在的各種事件或狀態。
您的一些使用者,例如 AWS 開發人員,可能需要了解適用於他們使用的任何帳戶和 OUs預防性控制,以便他們能夠建立工程解決方案。以下程序根據貴組織的資訊管理政策,針對如何為適當的使用者提供此資訊,提供一些指導方針。
注意
此程序假設您已在登陸區域內建立至少一個子 OU,以及至少一個 AWS IAM Identity Center 使用者。
為需要知道的使用者顯示預防性控制
-
登入 AWS Control Tower 主控台,網址為 https://https://console.aws.amazon.com/controltower/
。 -
從左側導覽中,選擇組織。
-
從表格中,選擇您的使用者需要適用控制項相關資訊的其中一個 OUs 名稱。
-
請注意 OU 的名稱和適用於此 OU 的控制項。
-
對於使用者所需資訊的每個 OU 重複前兩個步驟。
如需控制項及其函數的詳細資訊,請參閱 AWS Control Tower 中的關於控制項。
