Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recomendaciones para configurar grupos, funciones y políticas
A medida que configura su zona de inicio, es recomendable decidir de antemano qué usuarios requerirán acceso a ciertas cuentas y por qué. Por ejemplo, solo el equipo de seguridad debe poder acceder a una cuenta de seguridad, solo el equipo de administradores de la nube debe poder acceder a la cuenta de administración, etc.
Para obtener más información sobre este tema, consulte. Gestión de identidad y acceso en AWS Control Tower
Restricciones recomendadas
Puede restringir el alcance del acceso administrativo a sus organizaciones configurando un IAM rol o una política que permita a los administradores gestionar únicamente las acciones de la Torre de AWS Control Tower. El enfoque recomendado es utilizar la IAM políticaarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy
. Con la AWSControlTowerServiceRolePolicy
función habilitada, un administrador solo puede administrar la Torre de AWS Control. Asegúrese de incluir en cada cuenta el acceso adecuado AWS Organizations para gestionar los controles preventivos y el acceso a AWS Config los controles de detección. SCPs
Cuando configure la cuenta de auditoría compartida en su zona de inicio, le recomendamos que asigne el grupo AWSSecurityAuditors
a cualquier auditor externo de sus cuentas. Este grupo concede a sus miembros permiso de solo lectura. Una cuenta no debe tener permisos de escritura en el entorno que está auditando, porque puede infringir el cumplimiento de los requisitos de separación de funciones para los auditores.
Puede imponer condiciones en las políticas de confianza de sus funciones para restringir las cuentas y los recursos que interactúan con determinadas funciones en AWS Control Tower. Le recomendamos encarecidamente que restrinja el acceso al AWSControlTowerAdmin
rol, ya que permite permisos de acceso amplios. Para obtener más información, consulte Condiciones opcionales para las relaciones de confianza de su rol.