本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 面向 AWS Control Tower 管理员的最佳实践
<a name="best-practices"></a>

本主题主要面向管理账户管理员。

管理账户管理员负责解释 AWS Control Tower 控件阻止其成员账户管理员执行的一些任务。本主题介绍一些传授此知识的最佳实践和过程，并提供有效设置和维护 AWS Control Tower 环境的其他技巧。

## 解释对用户的访问权限
<a name="explaining-users"></a>

AWS Control Tower 控制台仅适用于拥有管理账户管理员权限的用户。只有这些用户可以在您的登录区内执行管理工作。根据最佳实践，这意味着大多数用户和成员账户管理员将始终不会看到 AWS Control Tower 控制台。作为管理账户管理员组的成员，您有责任根据需要向用户和成员账户的管理员解释以下信息。
+ 解释用户和管理员可以访问 landing zone 内的哪些 AWS 资源。
+ 列出适用于每个组织单位 (OU) 的预防性控制措施，以便其他管理员可以相应地计划和执行其 AWS 工作负载。

## 解释资源访问权限
<a name="explaining-resource-access"></a>

某些管理员和其他用户可能需要解释他们在您的 landing zone 内可以访问的 AWS 资源。此类访问可以包括编程访问和基于控制台的访问。一般而言，允许对 AWS 资源进行读取和写入权限。要在内部执行工作 AWS，您的用户需要在一定程度上访问他们完成工作所需的特定服务。

有些用户（例如您的 AWS 开发人员）可能需要了解他们可以访问的资源，这样他们才能创建工程解决方案。其他用户（例如在 AWS 服务上运行的应用程序的最终用户）不需要知道您的 landing zone 内的 AWS 资源。

AWS 提供了用于识别用户 AWS 资源访问范围的工具。确定用户访问的范围后，您可以根据组织的信息管理策略与用户共享该信息。有关这些工具的更多信息，请参阅下面的链接。
+ **AWS 访问顾问** — AWS Identity and Access Management (IAM) 访问顾问工具允许您通过分析 IAM 实体（例如用户、角色或群组）调用 AWS 服务的上次时间戳来确定开发人员拥有的权限。您可以审核服务访问权限并删除不必要的权限，还可以根据需要自动执行该过程。有关更多信息，请参阅[我们的 AWS 安全博客文章](https://aws.amazon.com/blogs/security/automate-analyzing-permissions-using-iam-access-advisor)。
+ **IAM policy simulator** – 使用 IAM policy simulator，您可以对基于 IAM 和基于资源的策略进行测试和故障排除。有关更多信息，请参阅[使用 IAM policy simulator 测试 IAM 策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_testing-policies.html)。
+ **AWS CloudTrail 日志** — 您可以查看 AWS CloudTrail 日志，以查看用户、角色或所采取的操作 AWS 服务。有关的更多信息 CloudTrail，请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。

  AWS Control Tower 登录区管理员执行的操作可在登录区管理账户中查看。成员账户管理员和用户执行的操作可在共享的日志存档账户中查看。

  您可以在[“活动”页面](https://console.aws.amazon.com/)中查看 AWS Control Tower 事件的摘要表。

## 解释预防性控件
<a name="explaining-preventive-controls"></a>

预防性控件可确保您组织的账户符合公司策略。预防性控件的状态为**已强制实施**或**未启用**。预防性控制通过使用服务控制策略 (SCPs)、资源控制策略 () 或声明性策略来防止策略违规。RCPs相比之下，检测性控件则通过定义的 AWS Config 规则将存在的各种事件或状态通知您。

您的某些用户（例如 AWS 开发人员）可能需要了解适用于任何账户和 OUs 他们使用的预防性控制措施，以便他们可以创建工程解决方案。以下过程提供有关如何根据组织的信息管理策略为正确的用户提供此信息的一些指导。

**注意**  
此过程假设您已经在 landing zone 中创建了至少一个子 OU 以及至少一个 AWS IAM Identity Center 用户。

**示例：为需要了解的用户显示预防性控件**

1. 登录 AWS Control Tower 控制台，网址为[https://console.aws.amazon.com/controltower/](https://console.aws.amazon.com/controltower/)。

1. 从左侧导航中，选择**组织**。

1. 从表中，选择您的用户需要有关适用控件信息的其中一个的**名称**。 OUs 

1. 注意 OU 的名称和适用于此 OU 的控件。

1. 对用户需要相关信息的每个 OU 重复上述两个步骤。

有关控件及其功能的详细信息，请参阅 [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/controls.html)。