Recommandations pour la configuration de groupes, de rôles et de politiques - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations pour la configuration de groupes, de rôles et de politiques

Lorsque vous configurez votre zone de destination, il est conseillé de décider à l'avance quels utilisateurs auront besoin d'accéder à certains comptes et pourquoi. Par exemple, un compte de sécurité ne doit être accessible qu'à l'équipe de sécurité, le compte de gestion doit être accessible uniquement à l'équipe des administrateurs du cloud, etc.

Pour plus d'informations sur ce sujet, consultezGestion des identités et des accès dans AWS Control Tower.

Restrictions recommandées

Vous pouvez restreindre l'étendue de l'accès administratif à vos organisations en définissant un IAM rôle ou une politique permettant aux administrateurs de gérer uniquement les actions de la AWS Control Tower. L'approche recommandée consiste à utiliser la IAM politiquearn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Lorsque le AWSControlTowerServiceRolePolicy rôle est activé, un administrateur peut uniquement gérer AWS Control Tower. Assurez-vous d'inclure un accès approprié AWS Organizations pour gérer vos contrôles préventifs et un accès à SCPs AWS Config, pour gérer les contrôles de détection, dans chaque compte.

Lorsque vous configurez le compte d'audit partagé dans votre zone de destination, nous vous recommandons d'affecter le groupe AWSSecurityAuditors à des auditeurs tiers de vos comptes. Ce groupe donne à ses membres l'autorisation en lecture seule. Un compte ne doit pas disposer d'autorisations d'écriture sur l'environnement qu'il vérifie, car il peut enfreindre la conformité aux exigences de séparation des fonctions pour les auditeurs.

Vous pouvez imposer des conditions dans vos politiques de confiance dans les rôles, afin de restreindre les comptes et les ressources qui interagissent avec certains rôles dans AWS Control Tower. Nous vous recommandons vivement de restreindre l'accès au AWSControlTowerAdmin rôle, car il autorise des autorisations d'accès étendues. Pour plus d'informations, voir Conditions facultatives relatives à vos relations de confiance en matière de rôle.