设置群组、角色和策略的建议

在设置登录区时，最好提前确定哪些用户需要访问特定账户，以及其中的原因。例如，安全帐户应仅供安全团队访问，管理帐户应仅可供云管理员团队访问，依此类推。

有关此主题的更多信息，请参阅Cont AWS rol Tower 中的身份和访问管理。

建议的限制

您可以通过设置仅允许管理员管理 Control Tower 操作的IAM角色或策略来限制对组织的AWS管理访问范围。推荐的方法是使用该IAM策略arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy。启用该AWSControlTowerServiceRolePolicy角色后，管理员只能管理 Cont AWS rol Tower。请务必包括对以下内容的适当访问权限 AWS Organizations 用于管理您的预防性控制措施，以及SCPs，以及访问权限 AWS Config，用于管理每个账户中的侦探控制。

当您在登录区中设置共享审计账户时，我们建议您将 AWSSecurityAuditors 组分配给您账户中的所有第三方审计人员。此组授予其成员只读权限。账户不得对其审计的环境具有写入权限，因为这可能不符合针对审计人员提出的责任分离要求。

您可以在角色信任策略中施加条件，以限制与 Cont AWS rol Tower 中某些角色交互的账户和资源。我们强烈建议您限制对该AWSControlTowerAdmin角色的访问权限，因为它允许广泛的访问权限。有关更多信息，请参阅角色信任关系的可选条件。