

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 管理員的最佳實務
<a name="best-practices"></a>

本主題主要適用於管理帳戶管理員。

管理帳戶管理員負責解釋 AWS Control Tower 控制會阻止其成員帳戶管理員執行的一些任務。本主題說明一些傳輸此知識的最佳實務和程序，並提供其他秘訣，讓您有效率地設定和維護 AWS Control Tower 環境。

## 向使用者說明存取權
<a name="explaining-users"></a>

AWS Control Tower 主控台僅適用於具有管理帳戶管理員許可的使用者。只有這些使用者可以在您的登陸區域內執行管理工作。根據最佳實務，這表示您的大多數使用者和成員帳戶管理員永遠不會看到 AWS Control Tower 主控台。身為管理帳戶管理員群組的成員，您有責任視需要向您成員帳戶的使用者和管理員解釋以下資訊。
+ 說明使用者和管理員可以在登陸區域內存取哪些 AWS 資源。
+ 列出適用於每個組織單位 (OU) 的預防性控制，以便其他管理員可以相應地規劃和執行其 AWS 工作負載。

## 說明資源存取
<a name="explaining-resource-access"></a>

有些管理員和其他使用者可能需要說明他們有權在您的登陸區域內存取 AWS 的資源。此存取可以包括程式設計存取和以主控台為基礎的存取。一般而言，允許 AWS 資源的讀取存取和寫入存取。若要在 內執行工作 AWS，您的使用者需要某種層級的存取權才能執行其任務所需的特定服務。

有些使用者，例如您的 AWS 開發人員，可能需要了解他們可存取的資源，以便他們能夠建立工程解決方案。其他使用者，例如在 AWS 服務上執行的應用程式最終使用者，不需要知道登陸區域中 AWS 的資源。

AWS 提供工具來識別使用者 AWS 資源存取的範圍。識別使用者存取的範圍之後，您可以根據組織的資訊管理政策，與使用者分享該資訊。如需這些工具的詳細資訊，請參閱下列連結。
+ **AWS 存取建議**程式 – AWS Identity and Access Management (IAM) 存取建議程式工具可讓您在 IAM 實體，例如使用者、角色或群組，稱為 AWS 服務時，透過分析上次時間戳記來判斷開發人員擁有的許可。您可以稽核服務存取和移除不必要的權限，而且可以視需要自動化程序。如需詳細資訊，請參閱[我們的 AWS 安全部落格文章](https://aws.amazon.com/blogs/security/automate-analyzing-permissions-using-iam-access-advisor)。
+ **IAM 政策模擬器** – 使用 IAM 政策模擬器，您可以測試和疑難排解 IAM 型和資源型政策。如需詳細資訊，請參閱[使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_testing-policies.html)。
+ **AWS CloudTrail 日誌** – 您可以檢閱 AWS CloudTrail 日誌，以查看使用者、角色或 採取的動作 AWS 服務。如需有關 CloudTrail 的相關資訊，請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。

  AWS Control Tower 登陸區域管理員採取的動作可在登陸區域管理帳戶中檢視。您可以在共用日誌封存帳戶中檢視成員帳戶管理員和使用者採取的動作。

  您可以在[活動頁面中檢視 AWS Control Tower 事件的摘要資料表。](https://console.aws.amazon.com/)

## 說明預防性控制
<a name="explaining-preventive-controls"></a>

預防性控制可確保組織的帳戶持續遵守您的公司政策。預防性控制的狀態為**強制執行**或未**啟用**。預防性控制會使用服務控制政策 (SCPs)、資源控制政策 (RCPs) 或宣告政策來防止政策違規。相比之下，偵測性控制會透過定義的 AWS Config 規則通知您存在的各種事件或狀態。

您的一些使用者，例如 AWS 開發人員，可能需要了解適用於他們使用的任何帳戶和 OUs預防性控制，以便他們可以建立工程解決方案。以下程序根據貴組織的資訊管理政策，針對如何為適當的使用者提供此資訊，提供一些指導方針。

**注意**  
此程序假設您已在登陸區域內建立至少一個子 OU，以及至少一個 AWS IAM Identity Center 使用者。

**範例：為需要知道的使用者顯示預防性控制**

1. 登入 AWS Control Tower 主控台，網址為 https：//[https://console.aws.amazon.com/controltower/](https://console.aws.amazon.com/controltower/)。

1. 從左側導覽中，選擇**組織**。

1. 從表格中，選擇您的使用者需要適用控制項相關資訊的其中一個 OUs **名稱**。

1. 請注意 OU 的名稱和適用於此 OU 的控制項。

1. 對於使用者所需資訊的每個 OU 重複前兩個步驟。

如需控制項及其函數的詳細資訊，請參閱[關於 AWS Control Tower 中的控制項](https://docs.aws.amazon.com//controltower/latest/userguide/controls.html)。