SystemsManager

系统管理员

系统管理员在企业中通常由运维团队人员承担，主要负责创建和维护资源。由于权限非常大，建议参考 特权账号管理实践 对系统管理员的权限进行限制。尤其需要注意的是，要将审计日志的权限单独由审计管理员负责，不建议一个人可以同时管理资源和审计操作日志。

如果系统管理员想要做一些恶意的事情，这个人能给组织造成多大的损害。他能做什么？他会怎么做？会被发现吗？能掩饰行踪吗？或者即使他的初衷是好的，他（或者拥有和他同等权限的人）可能犯的最严重的错误是什么？在调试、停机响应或者执行紧急响应任务时，运维团队临时手工执行的命令中，有多少是如果打错一个字母或者复制粘贴失误就可能导致停机的？因为不能指望人不出差错，所以必须假设任何不良的行为或者后果都可能发生。因此，我们建议设计系统时最大限度地减少或消除这些不良操作的影响。

如何配置

IAM

Step 1: 创建group

Global区域：推荐使用IAM Identity Center，创建Group，可以起名为SystemManager；

China区域：使用IAM，创建User Groups，可以起名为SystemManager；

Step2: 创建policies

选择使用AWS预置的策略：arn:aws:iam::aws:policy/job-function/SystemAdministrator

如果有特殊需求，可以复制出预置策略，在预置策略的基础上进行修改。但是注意，不要包含cloudtrail、cloudwatch，安全产品的管理权限。

Step3: 创建user，放入分组中

给允许拥有系统管理员权限的人创建user，并分配到之前创建的SystemManager的组中。