Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert AWS Control Tower mit Rollen zur Erstellung und Verwaltung von Konten
Im Allgemeinen sind Rollen Teil des Identitäts- und Zugriffsmanagements (IAM) in AWS. Allgemeine Informationen zu IAM und Rollen in AWS finden Sie unter dem Thema IAM-Rollen im AWS IAM-Benutzerhandbuch.
Rollen und Kontoerstellung
AWS Control Tower erstellt ein Kundenkonto, indem es die CreateAccount API von aufruft AWS Organizations. Bei AWS Organizations der Erstellung dieses Kontos wird eine Rolle innerhalb dieses Kontos erstellt, die AWS Control Tower benennt, indem ein Parameter an die API übergeben wird. Der Name der Rolle lautet AWSControlTowerExecution.
AWS Control Tower übernimmt die AWSControlTowerExecution Rolle für alle Konten, die von Account Factory erstellt wurden. Mithilfe dieser Rolle erstellt AWS Control Tower ein Baselining für das Konto und wendet obligatorische (und alle anderen aktivierten) Kontrollen an, was zur Erstellung weiterer Rollen führt. Diese Rollen werden wiederum von anderen Diensten verwendet, wie z. AWS Config
Anmerkung
Um ein Konto als Baseline zu definieren, müssen die zugehörigen Ressourcen eingerichtet werden. Dazu gehören Account Factory Factory-Vorlagen, die manchmal auch als Blueprints bezeichnet werden, und Kontrollen. Im Rahmen des Baselining-Prozesses werden im Rahmen der Bereitstellung der Vorlagen auch die zentralen Rollen für die Protokollierung und die Sicherheitsüberprüfung für das Konto eingerichtet. Die AWS Control Tower Tower-Baselines sind in den Rollen enthalten, die Sie für jedes registrierte Konto anwenden.
Weitere Informationen zu Konten und Ressourcen finden Sie unter. Über uns AWS-Konten in AWS Control Tower
So aggregiert AWS Control Tower AWS Config Regeln in nicht verwalteten Organisationseinheiten und Konten
Das AWS Control Tower-Verwaltungskonto erstellt einen Aggregator auf Organisationsebene, der bei der Erkennung externer AWS Config Regeln hilft, sodass AWS Control Tower keinen Zugriff auf nicht verwaltete Konten erhalten muss. Die AWS Control Tower Tower-Konsole zeigt Ihnen, wie viele extern erstellte AWS Config Regeln Sie für ein bestimmtes Konto haben. Sie können Details zu diesen externen Regeln auf der Registerkarte Einhaltung externer Konfigurationsregeln auf der Seite mit den Kontodetails anzeigen.
Um den Aggregator zu erstellen, fügt AWS Control Tower eine Rolle mit den erforderlichen Berechtigungen hinzu, um eine Organisation zu beschreiben und die ihr untergeordneten Konten aufzulisten. Die AWSControlTowerConfigAggregatorRoleForOrganizations Rolle erfordert die AWSConfigRoleForOrganizations verwaltete Richtlinie und eine Vertrauensbeziehung mitconfig.amazonaws.com.
Hier ist die IAM-Richtlinie (JSON-Artefakt), die der Rolle zugeordnet ist:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
Hier ist die AWSControlTowerConfigAggregatorRoleForOrganizations Vertrauensbeziehung:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } }
Um diese Funktionalität im Verwaltungskonto bereitzustellen, werden der verwalteten RichtlinieAWSControlTowerServiceRolePolicy, die von der AWSControlTowerAdmin Rolle bei der Erstellung des AWS Config Aggregators verwendet wird, die folgenden Berechtigungen hinzugefügt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:PutConfigurationAggregator", "config:DeleteConfigurationAggregator", "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations", "arn:aws:config:::config-aggregator/" ] }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*" } ] }
Neue Ressourcen wurden erstellt: AWSControlTowerConfigAggregatorRoleForOrganizations und aws-controltower-ConfigAggregatorForOrganizations
Wenn Sie bereit sind, können Sie Konten einzeln oder als Gruppe registrieren, indem Sie eine Organisationseinheit registrieren. Wenn Sie ein Konto registriert haben und eine Regel in erstellen AWS Config, erkennt AWS Control Tower die neue Regel. Der Aggregator zeigt die Anzahl der externen Regeln an und bietet einen Link zur AWS Config Konsole, über die Sie die Details jeder externen Regel für Ihr Konto einsehen können. Ermitteln Sie anhand der Informationen in der AWS Config Konsole und der AWS Control Tower Tower-Konsole, ob Sie die entsprechenden Kontrollen für das Konto aktiviert haben.
Programmgesteuerte Rollen und Vertrauensbeziehungen für das AWS Control Tower Tower-Auditkonto
Sie können sich beim Auditkonto anmelden und programmgesteuert die Rolle übernehmen, andere Konten zu überprüfen. Das Prüfungskonto erlaubt Ihnen nicht, sich manuell bei anderen Konten anzumelden.
Das Auditkonto ermöglicht Ihnen mithilfe einiger Rollen, die nur AWS Lambda-Funktionen gewährt werden, programmatischen Zugriff auf andere Konten. Aus Sicherheitsgründen haben diese Rollen Vertrauensbeziehungen zu anderen Rollen, was bedeutet, dass die Bedingungen, unter denen die Rollen verwendet werden können, genau definiert sind.
Das AWS Control Tower Tower-Stack-Set StackSet-AWSControlTowerBP-BASELINE-ROLES erstellt diese ausschließlich programmgesteuerten, kontenübergreifenden Rollen im Auditkonto:
-
aws-controltower- AdministratorExecutionRole
-
aws-Kontrollturm- AuditAdministratorRole
-
aws-Kontrollturm- ReadOnlyExecutionRole
-
aws-Kontrollturm- AuditReadOnlyRole
ReadOnlyExecutionRole:Beachten Sie, dass diese Rolle es dem Auditkonto ermöglicht, Objekte in Amazon S3 S3-Buckets in der gesamten Organisation zu lesen (im Gegensatz zu der SecurityAudit Richtlinie, die nur den Zugriff auf Metadaten zulässt).
aws-controltower-: AdministratorExecutionRole
-
Hat Administratorrechte
-
Kann von der Konsole aus nicht angenommen werden
-
Kann nur von einer Rolle im Auditkonto übernommen werden — dem
aws-controltower-AuditAdministratorRole
Das folgende Artefakt zeigt das Vertrauensverhältnis füraws-controltower-AdministratorExecutionRole. Die Platzhalternummer 012345678901 wird durch die Audit_acct_ID Nummer für Ihr Auditkonto ersetzt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditAdministratorRole" }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: AuditAdministratorRole
-
Kann nur vom AWS Lambda-Service übernommen werden
-
Hat die Berechtigung, Lese- (Get) und Schreibvorgänge (Put) für Amazon S3 S3-Objekte durchzuführen, deren Namen mit der Zeichenfolge log beginnen
Beigefügte Richtlinien:
1. AWSLambdaExecute— AWS verwaltete Richtlinie
2. AssumeRole-aws-controltower- AuditAdministratorRole — Inline-Richtlinie — Erstellt von AWS Control Tower, Artifact folgt.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-AdministratorExecutionRole" ], "Effect": "Allow" } ] }
Das folgende Artefakt zeigt die Vertrauensbeziehung für: aws-controltower-AuditAdministratorRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: ReadOnlyExecutionRole
-
Kann von der Konsole aus nicht angenommen werden
-
Kann nur von einer anderen Rolle im Auditkonto übernommen werden — der
AuditReadOnlyRole
Das folgende Artefakt zeigt das Vertrauensverhältnis füraws-controltower-ReadOnlyExecutionRole. Die Platzhalternummer 012345678901 wird durch die Audit_acct_ID Nummer für Ihr Auditkonto ersetzt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditReadOnlyRole " }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: AuditReadOnlyRole
-
Kann nur vom AWS Lambda-Service übernommen werden
-
Hat die Berechtigung, Lese- (Get) und Schreibvorgänge (Put) für Amazon S3 S3-Objekte durchzuführen, deren Namen mit der Zeichenfolge log beginnen
Beigefügte Richtlinien:
1. AWSLambdaExecute— AWS verwaltete Richtlinie
2. AssumeRole-aws-controltower- AuditReadOnlyRole — Inline-Richtlinie — Erstellt von AWS Control Tower, Artifact folgt.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-ReadOnlyExecutionRole" ], "Effect": "Allow" } ] }
Das folgende Artefakt zeigt die Vertrauensbeziehung für: aws-controltower-AuditAdministratorRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Automatisierte Kontobereitstellung mit IAM-Rollen
Um Account Factory Factory-Konten automatisierter zu konfigurieren, können Sie Lambda-Funktionen im AWS Control Tower Tower-Verwaltungskonto erstellen, das die AWSControlTowerExecutionRolle im Mitgliedskonto übernimmt
Wenn Sie Konten mithilfe von Lambda-Funktionen bereitstellen, muss die Identität, die diese Arbeit ausführt, zusätzlich zu die folgende IAM-Berechtigungsrichtlinie aufweisen. AWSServiceCatalogEndUserFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSControlTowerAccountFactoryAccess", "Effect": "Allow", "Action": [ "sso:GetProfile", "sso:CreateProfile", "sso:UpdateProfile", "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:GetSSOStatus", "sso:GetTrust", "sso:CreateTrust", "sso:UpdateTrust", "sso:GetPeregrineStatus", "sso:GetApplicationInstance", "sso:ListDirectoryAssociations", "sso:ListPermissionSets", "sso:GetPermissionSet", "sso:ProvisionApplicationInstanceForAWSAccount", "sso:ProvisionApplicationProfileForAWSAccountInstance", "sso:ProvisionSAMLProvider", "sso:ListProfileAssociations", "sso-directory:ListMembersInGroup", "sso-directory:AddMemberToGroup", "sso-directory:SearchGroups", "sso-directory:SearchGroupsWithGroupName", "sso-directory:SearchUsers", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:DescribeDirectory", "sso-directory:GetUserPoolInfo", "controltower:CreateManagedAccount", "controltower:DescribeManagedAccount", "controltower:DeregisterManagedAccount", "s3:GetObject", "organizations:describeOrganization", "sso:DescribeRegisteredRegions" ], "Resource": "*" } ] }
Die Berechtigungen sso:GetPeregrineStatus sso:ProvisionApplicationInstanceForAWSAccountsso:ProvisionApplicationProfileForAWSAccountInstance, und sso:ProvisionSAMLProvide werden von AWS Control Tower Account Factory für die Interaktion mit dem AWS IAM Identity Center benötigt.
