Consigli per la configurazione di gruppi, ruoli e politiche - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consigli per la configurazione di gruppi, ruoli e politiche

Quando configuri la tua landing zone, è consigliabile decidere in anticipo quali utenti dovranno accedere a determinati account e perché. Ad esempio, un account di sicurezza dovrebbe essere accessibile solo al team di sicurezza, l'account di gestione dovrebbe essere accessibile solo al team degli amministratori del cloud e così via.

Per ulteriori informazioni su questo argomento, vedere. Gestione delle identità e degli accessi in AWS Control Tower

Restrizioni consigliate

Puoi limitare l'ambito dell'accesso amministrativo alle tue organizzazioni impostando un IAM ruolo o una policy che consenta agli amministratori di gestire solo le azioni di AWS Control Tower. L'approccio consigliato consiste nell'utilizzare la IAM policyarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Con il AWSControlTowerServiceRolePolicy ruolo abilitato, un amministratore può gestire solo AWS Control Tower. Assicurati di includere in ogni account l'accesso appropriato AWS Organizations per la gestione dei controlli preventivi e l'accesso per AWS Config la gestione dei controlli investigativi. SCPs

Quando imposti l'account di controllo condiviso nella tua landing zone, ti consigliamo di assegnare il gruppo AWSSecurityAuditors a tutti i revisori di terze parti dei tuoi account. Questo gruppo dà ai suoi membri l'autorizzazione di sola lettura. Un account non deve disporre delle autorizzazioni di scrittura per l'ambiente che sta controllando perché può violare la conformità ai requisiti della "separazione dei compiti" per i revisori.

Puoi imporre condizioni nelle tue politiche di fiducia dei ruoli, per limitare gli account e le risorse che interagiscono con determinati ruoli in AWS Control Tower. Ti consigliamo vivamente di limitare l'accesso al AWSControlTowerAdmin ruolo, perché consente ampie autorizzazioni di accesso. Per ulteriori informazioni, consulta Condizioni opzionali per le relazioni di fiducia tra i ruoli.