设置群组、角色和策略的建议 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置群组、角色和策略的建议

在设置登录区时,最好提前确定哪些用户需要访问特定账户,以及其中的原因。例如,安全帐户应仅供安全团队访问,管理帐户应仅可供云管理员团队访问,依此类推。

有关此主题的更多信息,请参阅Cont AWS rol Tower 中的身份和访问管理

建议的限制

您可以通过设置仅允许管理员管理 Control Tower 操作的IAM角色或策略来限制对组织的AWS管理访问范围。推荐的方法是使用该IAM策略arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy。启用该AWSControlTowerServiceRolePolicy角色后,管理员只能管理 Cont AWS rol Tower。请务必在每个账户中包含适当的访问权限, AWS Organizations 用于管理您的预防控制 AWS Config,以及用于管理侦探控制的访问权限。SCPs

当您在登录区中设置共享审计账户时,我们建议您将 AWSSecurityAuditors 组分配给您账户中的所有第三方审计人员。此组授予其成员只读权限。账户不得对其审计的环境具有写入权限,因为这可能不符合针对审计人员提出的责任分离要求。

您可以在角色信任策略中施加条件,以限制与 Cont AWS rol Tower 中某些角色交互的账户和资源。我们强烈建议您限制对该AWSControlTowerAdmin角色的访问权限,因为它允许广泛的访问权限。有关更多信息,请参阅角色信任关系的可选条件