Práticas recomendadas para administradores do AWS Control Tower - AWS Control Tower
Explicar o acesso aos usuáriosExplicar o acesso a recursosExplicar os controles preventivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para administradores do AWS Control Tower

Este tópico destina-se principalmente a administradores da conta de gerenciamento.

Os administradores da conta de gerenciamento são responsáveis por explicar algumas tarefas que os controles do AWS Control Tower impedem que os administradores de contas-membros executem. Este tópico descreve algumas práticas recomendadas e procedimentos para transferir esse conhecimento e fornece outras dicas para configurar e fazer a manutenção do ambiente do AWS Control Tower de forma eficiente.

Explicar o acesso aos usuários

O console do AWS Control Tower está disponível somente para usuários com as permissões de administrador da conta de gerenciamento. Somente esses usuários podem executar o trabalho administrativo na zona de pouso. De acordo com as práticas recomendadas, isso significa que a maioria dos seus usuários e administradores de contas-membros nunca verá o console do AWS Control Tower. Como membro do grupo de administradores da conta de gerenciamento, é sua responsabilidade explicar as informações a seguir aos usuários e administradores de suas contas-membros, conforme apropriado.

  • Explique a quais AWS recursos os usuários e administradores têm acesso na landing zone.

  • Liste os controles preventivos que se aplicam a cada unidade organizacional (OU) para que os outros administradores possam planejar e executar suas AWS cargas de trabalho adequadamente.

Explicar o acesso a recursos

Alguns administradores e outros usuários podem precisar de uma explicação sobre os AWS recursos aos quais eles têm acesso na sua landing zone. Esse acesso pode incluir acesso programático e acesso com base no console. De um modo geral, o acesso de leitura e gravação aos AWS recursos é permitido. Para realizar trabalhos internos AWS, seus usuários precisam de algum nível de acesso aos serviços específicos de que precisam para realizar seus trabalhos.

Alguns usuários, como seus AWS desenvolvedores, talvez precisem conhecer os recursos aos quais têm acesso para criar soluções de engenharia. Outros usuários, como os usuários finais dos aplicativos executados nos AWS serviços, não precisam conhecer AWS os recursos em sua landing zone.

AWS oferece ferramentas para identificar o escopo do acesso de um usuário aos AWS recursos. Depois de identificar o escopo do acesso de um usuário, você poderá compartilhar essas informações com o usuário, de acordo com as políticas de gerenciamento de informações de sua organização. Para obter mais informações sobre essas ferramentas, consulte os links a seguir.

  • AWS consultor de acesso — A ferramenta consultor de acesso AWS Identity and Access Management (IAM) permite determinar as permissões que seus desenvolvedores têm analisando o último registro de data e hora em que uma entidade do IAM, como um usuário, função ou grupo, chamou um AWS serviço. É possível auditar o acesso ao serviço e remover as permissões desnecessárias, além de automatizar o processo, se necessário. Para obter mais informações, consulte nossa postagem no blog sobre AWS segurança.

  • Simulador de políticas do IAM: com ele, é possível testar e solucionar problemas em políticas baseadas no IAM e em recursos. Consulte mais informações, consulte Testar políticas do IAM com o simulador de políticas do IAM.

  • AWS CloudTrail registros — Você pode revisar AWS CloudTrail os registros para ver as ações realizadas por um usuário, função ou AWS service (Serviço da AWS). Para obter mais informações sobre CloudTrail, consulte o Guia AWS CloudTrail do usuário.

    As ações realizadas pelos administradores da zona de pouso do AWS Control Tower podem ser vistas na conta de gerenciamento da zona de pouso. As ações realizadas pelos administradores de contas-membros e usuários podem ser vistas na conta de arquivamento de logs compartilhada.

    É possível visualizar uma tabela de resumo de eventos do AWS Control Tower na página Atividades.

Explicar os controles preventivos

Um controle preventivo garante que as contas de sua organização mantenham a conformidade com as políticas corporativas. O status de um controle preventivo é aplicado ou não habilitado. Um controle preventivo evita violações de políticas usando políticas de controle de serviço (SCPs). Em comparação, um controle de detecção informa você sobre vários eventos ou estados que existem, por meio de regras definidas do AWS Config .

Alguns de seus usuários, como AWS desenvolvedores, talvez precisem conhecer os controles preventivos que se aplicam a todas as contas que OUs eles usam, para que possam criar soluções de engenharia. O procedimento a seguir oferece algumas orientações sobre como fornecer essas informações para os usuários certos, de acordo com as políticas de gerenciamento de informações da organização.

nota

Esse procedimento pressupõe que você já tenha criado pelo menos uma UO secundária em sua landing zone, bem como pelo menos um AWS IAM Identity Center usuário.

Como mostrar os controles preventivos para usuários que precisam dessa informação

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower/.

  2. No painel de navegação à esquerda, escolha Organização.

  3. Na tabela, escolha o nome de um dos OUs para os quais seu usuário precisa de informações sobre os controles aplicáveis.

  4. Anote o nome da UO e os controles que se aplicam a ela.

  5. Repita as duas etapas anteriores para cada UO sobre a qual o usuário precisa de informações.

Consulte informações detalhadas sobre os controles e suas funções em About controls in AWS Control Tower.