그룹, 역할 및 정책 설정에 대한 권장 사항

랜딩 존을 설정할 때 특정 계정에 액세스해야 하는 사용자와 그 이유에 대해 미리 결정하는 것이 좋습니다. 예를 들어 보안 계정은 보안 팀만 액세스할 수 있어야 하고 관리 계정은 클라우드 관리자 팀만 액세스할 수 있어야 합니다.

이 주제에 대한 자세한 내용은 AWS Control Tower에서 ID 및 액세스 관리 섹션을 참조하세요.

권장 제한 사항

관리자가 AWS Control Tower 작업만 관리할 수 있도록 허용하는 IAM 역할 또는 정책을 설정하여 조직에 대한 관리 액세스 범위를 제한할 수 있습니다. 권장 방법은 IAM 정책 arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy를 사용하는 것입니다. AWSControlTowerServiceRolePolicy 역할이 활성화된 경우 관리자는 AWS Control Tower만 관리할 수 있습니다. 각 계정에서 예방 제어 및 SCPs를 관리하기 AWS Organizations 위한에 대한 적절한 액세스 권한과 탐지 제어 관리를 AWS Config위한에 대한 액세스 권한을 포함해야 합니다.

랜딩 존에서 공유 감사 계정을 설정할 때 해당 AWSSecurityAuditors 그룹을 계정의 타사 감사자에게 할당하는 것이 좋습니다. 이 그룹은 멤버에게 읽기 전용 권한을 부여합니다. 감사자의 업무 분리 요구 사항 준수를 위반할 수 있으므로 계정에는 감사 중인 환경에 대한 쓰기 권한이 없어야 합니다.

역할 신뢰 정책에 조건을 부과하여 AWS Control Tower의 특정 역할과 상호 작용하는 계정 및 리소스를 제한할 수 있습니다. AWSControlTowerAdmin 역할은 광범위한 액세스 권한을 허용하므로 이 역할에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 역할 신뢰 관계에 대한 선택적 조건 섹션을 참조하세요.