グループ、ロール、ポリシーを設定する上での推奨事項

ランディングゾーンを設定する際には、どのユーザーが特定のアカウントにアクセスする必要があるのか、その理由を事前に決定することをお勧めします。例えば、セキュリティアカウントはセキュリティチームだけがアクセスできるようにし、管理アカウントはクラウド管理者のチームのみがアクセスできるようにする必要があります。

このトピックの詳細については、「AWS Control Tower での Identity and Access Management」を参照してください。

推奨される制限事項

管理者が AWS Control Tower アクションのみを管理できるようにするIAMロールまたはポリシーを設定することで、組織への管理アクセスの範囲を制限できます。推奨されるアプローチは、IAMポリシー を使用することですarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy。AWSControlTowerServiceRolePolicy ロールを有効にすると、管理者は AWS Control Tower のみを管理できます。各アカウントには、予防コントロールを管理する AWS Organizations ための への適切なアクセスと AWS Config、検出コントロールを管理するための SCPsへのアクセスを必ず含めてください。

ランディングゾーンで共有監査アカウントを設定する場合は、アカウントの第三者監査人に AWSSecurityAuditors グループを割り当てることをお勧めします。このグループは、メンバーに読み取り専用アクセス許可を与えます。アカウントには、監査対象の環境に対する書き込みアクセス許可があってはなりません。これは、監査人の職務分離要件の遵守に違反する可能性があるためです。

ロール信頼ポリシーに条件を課して、AWSControl Tower で特定のロールとやり取りするアカウントとリソースを制限できます。ロールへのアクセスは、幅広いアクセス許可を許可するAWSControlTowerAdminため、制限することを強くお勧めします。詳細については、「ロールの信頼関係のオプション条件」を参照してください。