設定群組、角色和原則的建議

設定登陸區域時，建議您先決定好哪些使用者需要存取特定帳戶以及原因。例如，安全性帳戶應該只能由安全團隊存取，管理帳戶應該只能由雲端系統管理員的團隊存取，依此類推。

建議限制

您可以設定僅允許管理員管理 AWS Control Tower 動作的IAM角色或原則，以限制組織的管理存取範圍。建議的方法是使用該IAM策略arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy。啟用AWSControlTowerServiceRolePolicy角色後，系統管理員只能管理 AWS Control Tower。請務必包含適當的存取權 AWS Organizations 用於管理您的預防性控制SCPs，以及和訪問 AWS Config，用於管理每個帳戶中的偵探控制項。

當您在登錄區域中設定共用稽核帳戶時，建議您將 AWSSecurityAuditors 群組指派至帳戶的任何第三方稽核員。此群組會提供其成員唯讀權限。帳戶不得在正在稽核的環境中擁有寫入權限，因為這可能違反稽核員的責任分離規定。

您可以在角色信任政策中施加條件，以限制與 AWS Control Tower 中某些角色互動的帳號和資源。強烈建議您限制AWSControlTowerAdmin角色的存取權，因為它允許廣泛的存取權限。如需詳細資訊，請參閱角色信任關係的選用條件。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

landing zone 域設置的管理秘訣

關於 AWS Control Tower 資源的指引