Recomendações para configurar grupos, funções e políticas

Conforme você configura sua zona de destino, é recomendável decidir antecipadamente quais usuários precisarão acessar determinadas contas e por quê. Por exemplo, uma conta de segurança deve estar acessível somente para a equipe de segurança, a conta de gerenciamento deve estar acessível somente para a equipe de administradores de nuvem e assim por diante.

Para obter mais informações sobre esse tópico, consulteGerenciamento de identidade e acesso na AWS Control Tower.

Restrições recomendadas

Você pode restringir o escopo do acesso administrativo às suas organizações configurando uma IAM função ou política que permita aos administradores gerenciar somente as ações da AWS Control Tower. A abordagem recomendada é usar a IAM políticaarn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Com a AWSControlTowerServiceRolePolicy função ativada, um administrador pode gerenciar somente o AWS Control Tower. Certifique-se de incluir acesso adequado AWS Organizations para gerenciar seus controles preventivos e acesso a SCPs AWS Config, para gerenciar controles de detetive, em cada conta.

Ao configurar a conta de auditoria compartilhada em sua zona de destino, recomendamos a atribuição do grupo AWSSecurityAuditors a quaisquer auditores externos de suas contas. Esse grupo concede permissão somente leitura a seus membros. Uma conta não deve ter permissões de gravação no ambiente em que está realizando auditoria, pois pode violar a conformidade com os requisitos de separação de funções para auditores.

Você pode impor condições nas políticas de confiança de sua função para restringir as contas e os recursos que interagem com determinadas funções na AWS Control Tower. É altamente recomendável que você restrinja o acesso à AWSControlTowerAdmin função, pois ela permite amplas permissões de acesso. Para obter mais informações, consulte Condições opcionais para as relações de confiança da sua função.