Paso 1. Creación del rol necesario - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1. Creación del rol necesario

Antes de empezar a personalizar las cuentas, debe configurar un rol que contenga una relación de confianza entre AWS Control Tower y la cuenta central. Cuando se asume, el rol otorga a AWS Control Tower acceso para administrar los recursos de la cuenta hub. El rol debe tener un nombre AWSControlTowerBlueprintAccess.

AWS Control Tower asume esta función para crear un recurso de cartera en su nombre y, a continuación AWS Service Catalog, añadir su plan como producto de Service Catalog a esta cartera y, a continuación, compartir esta cartera y su plan con su cuenta de miembro durante el aprovisionamiento de la cuenta.

Deberá crear el rol AWSControlTowerBlueprintAccess, como se explica en las siguientes secciones. Puede configurar el rol en una cuenta inscrita o no inscrita.

Vaya a la consola de IAM para configurar el rol necesario.

Para configurar el AWSControl TowerBlueprintAccess rol en una cuenta de AWS Control Tower inscrita

  1. Federe o inicie sesión como entidad principal en la cuenta de administración de AWS Control Tower.

  2. Desde la entidad principal federada de la cuenta de administración, asuma o cambie los roles al rol AWSControlTowerExecution de la cuenta inscrita de AWS Control Tower que seleccione para que sirva como cuenta central de esquema.

  3. Desde el rol AWSControlTowerExecution de la cuenta inscrita de AWS Control Tower, cree el rol AWSControlTowerBlueprintAccess con los permisos y las relaciones de confianza adecuados.

importante

Para cumplir con la guía de prácticas AWS recomendadas, es importante que cierre sesión en el AWSControlTowerExecution puesto inmediatamente después de AWSControlTowerBlueprintAccess crearlo.

Para evitar cambios involuntarios en los recursos, el rol AWSControlTowerExecution es para uso exclusivo de AWS Control Tower.

Si la cuenta central de esquema no está inscrita en AWS Control Tower, el rol AWSControlTowerExecution no existirá en la cuenta y no será necesario asumirlo antes de continuar con la configuración del rol AWSControlTowerBlueprintAccess.

Para configurar el AWSControl TowerBlueprintAccess rol en una cuenta de miembro no inscrita

  1. Federe o inicie sesión como entidad principal en la cuenta que desee designar como cuenta central mediante el método que prefiera.

  2. Cuando haya iniciado sesión como entidad principal en la cuenta, cree el rol AWSControlTowerBlueprintAccess con los permisos y las relaciones de confianza adecuados.

El AWSControlTowerBlueprintAccessrol debe configurarse de manera que otorgue confianza a dos directores:

  • La entidad principal (usuario) que ejecuta AWS Control Tower en la cuenta de administración de AWS Control Tower.

  • El rol denominado AWSControlTowerAdmin de la cuenta de administración de AWS Control Tower.

A continuación, se muestra un ejemplo de política de confianza, similar a la que tendrá que incluir para su rol. Esta política constituye una práctica recomendada para otorgar el acceso a los privilegios mínimos. Cuando cree su propia política, sustituya el término YourManagementAccountId por el ID real de la cuenta de administración de AWS Control Tower y sustituya el término YourControlTowerUserRole por el identificador del rol de IAM de la cuenta de administración.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Política de permisos necesaria

AWS Control Tower requiere que la política administrada denominada AWSServiceCatalogAdminFullAccess esté asociada al rol AWSControlTowerBlueprintAccess. Esta política proporciona los permisos que AWS Service Catalog busca cuándo permite a AWS Control Tower administrar su cartera y los recursos de sus AWS Service Catalog productos. Puede asociar esta política al crear el rol en la consola de IAM.

Pueden ser necesarios permisos adicionales

  • Si almacena los esquemas en Amazon S3, AWS Control Tower también requiere la política de permisos AmazonS3ReadOnlyAccess para el rol AWSControlTowerBlueprintAccess.

  • El tipo de producto AWS Service Catalog Terraform requiere que añada algunos permisos adicionales a la política de IAM personalizada de AFC si no utiliza la política de administración predeterminada. Requiere estos permisos además de los necesarios para crear los recursos que defina en la plantilla de Terraform.