Erforderliche Rollen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Rollen

Im Allgemeinen sind Rollen und Richtlinien Teil von Identity and Access Management (IAM) in AWS. Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch.

AFT erstellt mehrere IAM-Rollen und -Richtlinien in den Verwaltungskonten AFT Management und AWS Control Tower, um den Betrieb der AFT-Pipeline zu unterstützen. Diese Rollen werden auf der Grundlage des Zugriffsmodells mit den geringsten Berechtigungen erstellt, das die Berechtigung auf die minimal erforderlichen Aktionen und Ressourcen für jede Rolle und Richtlinie beschränkt. Diesen Rollen und Richtlinien wird ein - AWS Tag-key:valuePaar zugewiesen, das managed_by:AFT zur Identifizierung bestimmt ist.

Neben diesen IAM-Rollen erstellt AFT drei wesentliche Rollen:

  • die AWSAFTAdmin Rolle

  • die AWSAFTExecution Rolle

  • die AWSAFTService Rolle

Diese Rollen werden in den folgenden Abschnitten erläutert.

Die erläuterte AWSAFTAdmin Rolle

Wenn Sie AFT bereitstellen, wird die AWSAFTAdmin Rolle im AFT-Verwaltungskonto erstellt. Diese Rolle ermöglicht es der AFT-Pipeline, die AWSAFTExecution Rolle in AWS Control Tower und von AFT bereitgestellten Konten zu übernehmen und so Aktionen im Zusammenhang mit der Bereitstellung und Anpassung von Konten durchzuführen.

Hier ist die Inline-Richtlinie (JSON-Artefakt), die der AWSAFTAdmin Rolle zugeordnet ist: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

Das folgende JSON-Artefakt zeigt die Vertrauensstellung für die AWSAFTAdmin Rolle. Die Platzhalternummer 012345678901 wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die erläuterte AWSAFTExecution Rolle

Wenn Sie AFT bereitstellen, wird die AWSAFTExecution Rolle in den Verwaltungskonten AFT Management und AWS Control Tower erstellt. Später erstellt die AFT-Pipeline die AWSAFTExecution Rolle in jedem von AFT bereitgestellten Konto während der Bereitstellungsphase des AFT-Kontos.

AFT verwendet zunächst die AWSControlTowerExecution Rolle , um die AWSAFTExecution Rolle in bestimmten Konten zu erstellen. Die AWSAFTExecution Rolle ermöglicht es der AFT-Pipeline, die Schritte auszuführen, die während der Bereitstellungs- und Bereitstellungsanpassungsphasen des AFT-Frameworks, für von AFT bereitgestellte Konten und für gemeinsam genutzte Konten ausgeführt werden.

Verschiedene Rollen helfen Ihnen, den Umfang einzuschränken

Als bewährte Methode sollten Sie die Anpassungsberechtigungen von den Berechtigungen trennen, die während der ersten Bereitstellung von Ressourcen zulässig sind. Denken Sie daran, dass die AWSAFTService Rolle für die Kontobereitstellung und die AWSAFTExecution Rolle für die Kontoanpassung vorgesehen ist. Diese Trennung schränkt den Umfang der Berechtigungen ein, die während jeder Phase der Pipeline zulässig sind. Diese Unterscheidung ist besonders wichtig, wenn Sie die freigegebenen Konten von AWS Control Tower anpassen, da die freigegebenen Konten möglicherweise vertrauliche Informationen wie Abrechnungsdetails oder Benutzerinformationen enthalten.

Berechtigungen für RolleAWSAFTExecution: AdministratorAccess – eine von AWS verwaltete Richtlinie

Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die der AWSAFTExecution Rolle zugeordnet ist. Die Platzhalternummer 012345678901 wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.

Vertrauensrichtlinie für AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die erläuterte AWSAFTService Rolle

Die AWSAFTService Rolle stellt AFT-Ressourcen in allen registrierten und verwalteten Konten bereit, einschließlich der freigegebenen Konten und des Verwaltungskontos. Ressourcen wurden früher nur von der AWSAFTExecution Rolle bereitgestellt.

Die AWSAFTService Rolle ist für die Verwendung durch die Service-Infrastruktur zur Bereitstellung von Ressourcen während der Bereitstellungsphase vorgesehen, und die AWSAFTExecution Rolle ist nur für die Bereitstellung von Anpassungen vorgesehen. Indem Sie die Rollen auf diese Weise übernehmen, können Sie in jeder Phase eine detailliertere Zugriffskontrolle aufrechterhalten.

Berechtigungen für AWSAFTService Rolle: AdministratorAccess – eine von AWS verwaltete Richtlinie

Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die der AWSAFTService Rolle zugeordnet ist. Die Platzhalternummer 012345678901 wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.

Vertrauensrichtlinie für AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}