Schritt 1. Erstellen Sie die erforderliche Rolle - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1. Erstellen Sie die erforderliche Rolle

Bevor Sie mit der Anpassung von Konten beginnen, müssen Sie eine Rolle einrichten, die eine Vertrauensbeziehung zwischen AWS Control Tower und Ihrem Hub-Konto beinhaltet. Wenn diese Rolle übernommen wird, gewährt sie AWS Control Tower Zugriff zur Verwaltung der Ressourcen im Hub-Konto. Die Rolle muss benannt AWSControlTowerBlueprintAccesswerden.

AWS Control Tower übernimmt diese Rolle, um in Ihrem Namen eine Portfolio-Ressource zu erstellen AWS Service Catalog, anschließend Ihren Blueprint als Service Catalog-Produkt zu diesem Portfolio hinzuzufügen und dann dieses Portfolio und Ihren Blueprint während der Kontobereitstellung mit Ihrem Mitgliedskonto zu teilen.

Sie erstellen die AWSControlTowerBlueprintAccess Rolle, wie in den folgenden Abschnitten erläutert. Sie können die Rolle in einem registrierten oder einem nicht registrierten Konto einrichten.

Navigieren Sie zur IAM-Konsole, um die erforderliche Rolle einzurichten.

So richten Sie die AWSControl TowerBlueprintAccess Rolle in einem registrierten AWS Control Tower Tower-Konto ein

  1. Verbinden Sie das AWS Control Tower Tower-Verwaltungskonto oder melden Sie sich als Principal an.

  2. Nehmen Sie vom Verbundprinzipal im Verwaltungskonto die Rollen an oder wechseln Sie zu der AWSControlTowerExecution Rolle im registrierten AWS Control Tower Tower-Konto, das Sie als Blueprint-Hub-Konto auswählen.

  3. Erstellen Sie aus der AWSControlTowerExecution Rolle im registrierten AWS Control Tower Tower-Konto die AWSControlTowerBlueprintAccess Rolle mit den richtigen Berechtigungen und Vertrauensbeziehungen.

Wichtig

Um den Richtlinien für AWS bewährte Verfahren zu entsprechen, ist es wichtig, dass Sie sich unmittelbar nach der Erstellung der AWSControlTowerExecution Rolle von der AWSControlTowerBlueprintAccess Rolle abmelden.

Um unbeabsichtigte Änderungen an Ressourcen zu verhindern, ist die AWSControlTowerExecution Rolle nur für die Verwendung durch AWS Control Tower vorgesehen.

Wenn Ihr Blueprint-Hub-Konto nicht bei AWS Control Tower registriert ist, ist die AWSControlTowerExecution Rolle im Konto nicht vorhanden, und Sie müssen sie nicht annehmen, bevor Sie mit der Einrichtung der AWSControlTowerBlueprintAccess Rolle fortfahren.

Um die AWSControl TowerBlueprintAccess Rolle in einem nicht registrierten Mitgliedskonto einzurichten

  1. Verbinden Sie das Konto, das Sie als Hub-Konto festlegen möchten, oder melden Sie sich mit Ihrer bevorzugten Methode als Hauptbenutzer an.

  2. Wenn Sie als Hauptbenutzer im Konto angemeldet sind, erstellen Sie die AWSControlTowerBlueprintAccess Rolle mit den entsprechenden Berechtigungen und Vertrauensbeziehungen.

Die AWSControlTowerBlueprintAccessRolle muss so eingerichtet sein, dass sie zwei Prinzipalen Vertrauen gewährt:

  • Der Principal (Benutzer), der AWS Control Tower im AWS Control Tower Tower-Verwaltungskonto ausführt.

  • Die AWSControlTowerAdmin im AWS Control Tower Tower-Verwaltungskonto angegebene Rolle.

Hier ist ein Beispiel für eine Vertrauensrichtlinie, ähnlich einer, die Sie für Ihre Rolle angeben müssen. Diese Richtlinie veranschaulicht die bewährte Methode zur Gewährung des Zugriffs mit den geringsten Rechten. Wenn Sie Ihre eigene Richtlinie erstellen, ersetzen Sie den Begriff YourManagementAccountId durch die tatsächliche Konto-ID Ihres AWS Control Tower Tower-Verwaltungskontos und ersetzen Sie den Begriff YourControlTowerUserRole durch die ID der IAM-Rolle für Ihr Verwaltungskonto.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Richtlinie für erforderliche Berechtigungen

AWS Control Tower erfordert, dass die angegebene verwaltete Richtlinie an die AWSControlTowerBlueprintAccess Rolle angehängt werden AWSServiceCatalogAdminFullAccess muss. Diese Richtlinie bietet Berechtigungen, mit AWS Service Catalog denen geprüft wird, wann AWS Control Tower Ihr Portfolio und Ihre AWS Service Catalog Produktressourcen verwalten darf. Sie können diese Richtlinie anhängen, wenn Sie die Rolle in der IAM-Konsole erstellen.

Zusätzliche Berechtigungen können erforderlich sein

  • Wenn Sie Ihre Blueprints in Amazon S3 speichern, benötigt AWS Control Tower auch die AmazonS3ReadOnlyAccess Berechtigungsrichtlinie für die AWSControlTowerBlueprintAccess Rolle.

  • Für den Produkttyp AWS Service Catalog Terraform müssen Sie der benutzerdefinierten AFC-IAM-Richtlinie einige zusätzliche Berechtigungen hinzufügen, wenn Sie nicht die standardmäßige Admin-Richtlinie verwenden. Diese sind zusätzlich zu den Berechtigungen erforderlich, die zum Erstellen der Ressourcen erforderlich sind, die Sie in Ihrer Terraform-Vorlage definieren.