Funciones obligatorias - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones obligatorias

En general, las funciones y las políticas forman parte de la gestión de identidad y acceso (IAM) en AWS. Consulte la Guía del usuarioAWS de IAM para obtener más información.

AFT crea múltiples funciones y políticas de IAM en las cuentas de administración de AFT y de administración de la Torre de Control Tower de AWS para respaldar las operaciones del oleoducto de AFT. Estas funciones se crean en función del modelo de acceso con privilegios mínimos, que restringe el permiso a los conjuntos de acciones y recursos mínimos necesarios para cada función y política. A estos roles y políticas se les asigna un key:value par de AWS etiquetas managed_by:AFT para su identificación.

Además de estas funciones de IAM, AFT crea tres funciones esenciales:

  • el AWSAFTAdmin rol

  • el AWSAFTExecution papel

  • el AWSAFTService papel

Estas funciones se explican en las siguientes secciones.

La AWSAFTAdmin función, explicada

Al implementar AFT, el AWSAFTAdmin rol se crea en la cuenta de administración de AFT. Esta función permite a la canalización de AFT asumir la AWSAFTExecution función en las cuentas aprovisionadas de AWS Control Tower y AFT y, por lo tanto, realizar acciones relacionadas con el aprovisionamiento y la personalización de las cuentas.

Esta es la política en línea (artefacto JSON) asociada a la función: AWSAFTAdmin 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

El siguiente artefacto de JSON muestra la relación de confianza del rol. AWSAFTAdmin El número de marcador de posición 012345678901 se sustituye por el número de identificación de la cuenta de administración de la AFT.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

El AWSAFTExecution rol, explicado

Al implementar AFT, el AWSAFTExecution rol se crea en las cuentas de administración de AFT y de administración de AWS Control Tower. Más adelante, la canalización de AFT crea el AWSAFTExecution rol en cada cuenta aprovisionada de AFT durante la etapa de aprovisionamiento de la cuenta de AFT.

AFT utiliza el AWSControlTowerExecution rol inicialmente para crear el AWSAFTExecution rol en cuentas específicas. El AWSAFTExecution rol permite a la canalización de AFT ejecutar los pasos que se llevan a cabo durante las etapas de aprovisionamiento y personalización del aprovisionamiento del marco AFT, para las cuentas aprovisionadas por AFT y para las cuentas compartidas.

Los roles distintos le ayudan a limitar el alcance

Como práctica recomendada, mantenga los permisos de personalización separados de los permisos permitidos durante el despliegue inicial de los recursos. Recuerde que el AWSAFTService rol está diseñado para el aprovisionamiento de cuentas y el AWSAFTExecution rol está destinado a la personalización de cuentas. Esta separación limita el alcance de los permisos que se permiten durante cada fase de la canalización. Esta distinción es especialmente importante si va a personalizar las cuentas compartidas de AWS Control Tower, ya que las cuentas compartidas pueden contener información confidencial, como detalles de facturación o información de usuario.

Permisos para AWSAFTExecution el rol: AdministratorAccess— una política administrada por AWS

El siguiente artefacto de JSON muestra la política de IAM (relación de confianza) asociada al AWSAFTExecution rol. El número de marcador de posición 012345678901 se sustituye por el número de identificación de la cuenta de administración de la AFT.

Política de confianza para AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

El AWSAFTService rol, explicado

El AWSAFTService rol despliega los recursos de AFT en todas las cuentas inscritas y administradas, incluidas las cuentas compartidas y la cuenta de administración. Anteriormente, los recursos los desplegaba únicamente el AWSAFTExecution rol.

El AWSAFTService rol está diseñado para que lo utilice la infraestructura de servicios para implementar recursos durante la AWSAFTExecution etapa de aprovisionamiento y solo para implementar personalizaciones. Al asumir las funciones de esta manera, puede mantener un control de acceso más detallado durante cada etapa.

Permisos para AWSAFTService el rol: AdministratorAccess— una política administrada por AWS

El siguiente artefacto de JSON muestra la política de IAM (relación de confianza) asociada al AWSAFTService rol. El número de marcador de posición 012345678901 se sustituye por el número de identificación de la cuenta de administración de la AFT.

Política de confianza para AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}