本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定登陸區域時,建議您先決定好哪些使用者需要存取特定帳戶以及原因。例如,安全帳戶應只能由安全團隊存取,管理帳戶應只能由雲端管理員的團隊存取,以此類推。
如需此主題的詳細資訊,請參閱 AWS Control Tower 中的身分和存取管理。
建議限制
您可以設定 IAM 角色或政策,允許管理員僅管理 AWS Control Tower 動作,以限制組織的管理存取範圍。建議的方法為使用 IAM 政策 arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy。啟用AWSControlTowerServiceRolePolicy角色後,管理員只能管理 AWS Control Tower。請務必在每個帳戶中包含適當的 存取 AWS Organizations ,以管理您的預防性控制和 SCPs AWS Config,以及 存取 以管理偵測性控制。
當您在登錄區域中設定共用稽核帳戶時,建議您將 AWSSecurityAuditors 群組指派至帳戶的任何第三方稽核員。此群組會提供其成員唯讀權限。帳戶不得在正在稽核的環境中擁有寫入權限,因為這可能違反稽核員的責任分離規定。
您可以在角色信任政策中強加條件,以限制與 AWS Control Tower 中特定角色互動的帳戶和資源。我們強烈建議您限制對AWSControlTowerAdmin角色的存取,因為它允許廣泛的存取許可。如需詳細資訊,請參閱角色信任關係的選用條件。
