Recomendaciones para la configuración de grupos, roles y políticas

A medida que configura su zona de inicio, es recomendable decidir de antemano qué usuarios requerirán acceso a ciertas cuentas y por qué. Por ejemplo, una cuenta de seguridad solo debería ser accesible para el equipo de seguridad, la cuenta de administración solo debería ser accesible para el equipo de administradores de la nube, y así sucesivamente.

Para obtener más información acerca de este tema, consulte Administración de identidades y accesos en AWS Control Tower.

Restricciones recomendadas

Puede restringir el ámbito del acceso administrativo a sus organizaciones mediante la configuración de un rol o política de IAM que permita a los administradores administrar únicamente las acciones de AWS Control Tower. El enfoque recomendado es utilizar la política de IAM arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. Con el rol de AWSControlTowerServiceRolePolicy habilitado, un administrador solo puede administrar AWS Control Tower. Asegúrese de incluir en cada cuenta el acceso adecuado AWS Organizations para gestionar sus controles preventivos y el acceso a AWS Config los controles de detección. SCPs

Cuando configure la cuenta de auditoría compartida en su zona de inicio, le recomendamos que asigne el grupo AWSSecurityAuditors a cualquier auditor externo de sus cuentas. Este grupo concede a sus miembros permiso de solo lectura. Una cuenta no debe tener permisos de escritura en el entorno que está auditando, porque puede infringir el cumplimiento de los requisitos de separación de funciones para los auditores.

Puede imponer condiciones en las políticas de confianza de roles para restringir las cuentas y los recursos que interactúan con determinados roles en AWS Control Tower. Le recomendamos fehacientemente que restrinja el acceso al rol AWSControlTowerAdmin, ya que concede permisos de acceso amplio. Para obtener más información, consulte Condiciones opcionales de las relaciones de confianza de su rol.