本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 设置组、角色和策略方面的建议 在设置登录区时,最好提前确定哪些用户需要访问特定账户,以及其中的原因。例如,安全账户应只有安全团队可以访问,管理账户应只有云管理员团队可以访问,等等。 有关此主题的更多信息,请参阅 [AWS Control Tower 中的 Identity and Access Management](auth-access.md)。 **建议的限制** 您可以设置仅允许管理员管理 AWS Control Tower 操作的 IAM 角色或策略,从而限制对组织进行管理访问的范围。建议的方法是使用 IAM 策略 `arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy`。启用 `AWSControlTowerServiceRolePolicy` 角色后,只有管理员可以管理 AWS Control Tower。请务必在每个账户中包含适当的访问权限, AWS Organizations 用于管理您的预防控制 AWS Config,以及用于管理侦探控制的访问权限。 SCPs 当您在登录区中设置共享审计账户时,我们建议您将 `AWSSecurityAuditors` 组分配给您账户中的所有第三方审计人员。此组授予其成员只读权限。账户不得对其审计的环境具有写入权限,因为这可能不符合针对审计人员提出的责任分离要求。 您可以在角色信任策略中施加条件,以限制与 AWS Control Tower 中某些角色交互的账户和资源。我们强烈建议您限制对 `AWSControlTowerAdmin` 角色的访问权限,因为它允许广泛的访问权限。有关更多信息,请参阅 [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。