Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche per gli amministratori di AWS Control Tower
Questo argomento è destinato principalmente agli amministratori degli account di gestione.
Gli amministratori degli account di gestione hanno la responsabilità di spiegare alcune attività che i controlli di AWS Control Tower impediscono agli amministratori degli account membri di svolgere. Questo argomento descrive alcune best practice e procedure per trasferire queste conoscenze e fornisce altri suggerimenti per configurare e mantenere l'ambiente AWS Control Tower in modo efficiente.
Spiegazione dell'accesso agli utenti
La console AWS Control Tower è disponibile solo per gli utenti con le autorizzazioni di amministratore dell'account di gestione. Solo questi utenti possono svolgere attività amministrative all'interno della landing zone. In base alle best practice, ciò significa che la maggior parte degli utenti e degli amministratori degli account membri non vedrà mai la console AWS Control Tower. In qualità di membro del gruppo di amministratori degli account di gestione, è tua responsabilità spiegare le seguenti informazioni agli utenti e agli amministratori dei tuoi account membri, a seconda dei casi.
-
Spiega a quali AWS risorse hanno accesso utenti e amministratori all'interno della landing zone.
-
Elenca i controlli preventivi che si applicano a ciascuna unità organizzativa (OU) in modo che gli altri amministratori possano pianificare ed eseguire i propri AWS carichi di lavoro di conseguenza.
Spiegazione dell'accesso alle risorse
Alcuni amministratori e altri utenti potrebbero aver bisogno di una spiegazione delle AWS risorse a cui hanno accesso all'interno della tua landing zone. Questo accesso può includere l'accesso programmatico e l'accesso basato sulla console. In generale, è consentito l'accesso in lettura e scrittura alle AWS risorse. Per eseguire Work Within AWS, gli utenti necessitano di un certo livello di accesso ai servizi specifici di cui hanno bisogno per svolgere il proprio lavoro.
Alcuni utenti, ad esempio gli AWS sviluppatori, potrebbero aver bisogno di conoscere le risorse a cui hanno accesso, in modo da poter creare soluzioni ingegneristiche. Gli altri utenti, come gli utenti finali delle applicazioni che eseguono sui AWS servizi, non hanno bisogno di conoscere AWS le risorse all'interno della landing zone.
AWS offre strumenti per identificare l'ambito di accesso alle AWS risorse di un utente. Dopo aver identificato l'ambito dell'accesso di un utente, è possibile condividere tali informazioni con l'utente, in conformità con i criteri di gestione delle informazioni dell'organizzazione. Per ulteriori informazioni su questi strumenti, vedere i collegamenti che seguono.
-
AWS access advisor: lo strumento Access Advisor AWS Identity and Access Management (IAM) consente di determinare le autorizzazioni di cui dispongono gli sviluppatori analizzando l'ultimo timestamp in cui un'entità IAM, ad esempio un utente, un ruolo o un gruppo, ha chiamato un servizio. AWS È possibile controllare l'accesso al servizio e rimuovere le autorizzazioni non necessarie e automatizzare il processo, se necessario. Per ulteriori informazioni, consulta il nostro AWS
post sul blog sulla sicurezza. -
Simulatore di policy IAM: con il simulatore di policy IAM, puoi testare e risolvere i problemi delle policy basate su IAM e basate sulle risorse. Per ulteriori informazioni, consulta Testare le politiche IAM con IAM Policy Simulator.
-
AWS CloudTrail log: puoi esaminare i AWS CloudTrail log per vedere le azioni intraprese da un utente, ruolo o. Servizio AWS Per ulteriori informazioni in merito CloudTrail, consulta la Guida per l'AWS CloudTrail utente.
Le azioni intraprese dagli amministratori delle landing zone di AWS Control Tower sono visualizzabili nell'account di gestione delle landing zone. Le azioni intraprese dagli amministratori e dagli utenti degli account membri sono visualizzabili nell'account di archiviazione dei log condiviso.
Puoi visualizzare una tabella riassuntiva degli eventi di AWS Control Tower nella pagina Attività.
Spiegazione dei controlli preventivi
Un controllo preventivo garantisce che gli account dell'organizzazione mantengano la conformità con le politiche aziendali. Lo stato del controllo preventivo è imposto o non abilitato. Un controllo preventivo previene le violazioni delle policy utilizzando le policy di controllo del servizio (). SCPs In confronto, un controllo investigativo ti informa di vari eventi o stati esistenti, mediante AWS Config regole definite.
Alcuni dei vostri utenti, come gli AWS sviluppatori, potrebbero aver bisogno di conoscere i controlli preventivi che si applicano a tutti gli account e che OUs utilizzano, in modo da poter creare soluzioni ingegneristiche. La procedura seguente offre alcune indicazioni su come fornire queste informazioni agli utenti giusti, in base ai criteri di gestione delle informazioni dell'organizzazione.
Nota
Questa procedura presuppone che tu abbia già creato almeno un'unità organizzativa secondaria all'interno della tua landing zone, oltre ad almeno un AWS IAM Identity Center utente.
Per mostrare i controlli preventivi agli utenti che hanno bisogno di sapere
-
Accedi alla console AWS Control Tower all'indirizzo https://console.aws.amazon.com/controltower/
. -
Dalla barra di navigazione a sinistra, scegli Organizzazione.
-
Dalla tabella, scegli il nome di uno dei controlli OUs per cui l'utente necessita di informazioni sui controlli applicabili.
-
Annota il nome dell'unità organizzativa e i controlli che si applicano a questa unità organizzativa.
-
Ripetere i due passaggi precedenti per ogni unità organizzativa su cui l'utente ha bisogno di informazioni.
Per informazioni dettagliate sui controlli e le relative funzioni, consulta Informazioni sui controlli in AWS Control Tower.
