Utilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower

Cette rubrique fournit des exemples de stratégies basées sur l'identité qui montrent comment un administrateur de compte peut lier des stratégies d'autorisations à des identités IAM (autrement dit, des utilisateurs, des groupes et des rôles) et accorder ainsi des autorisations pour effectuer des opérations sur les ressources AWS Control Tower.

Important

Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options dont vous disposez pour gérer l'accès à vos ressources AWS Control Tower. Pour plus d'informations, consultez Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower.

Autorisations requises pour utiliser la AWS Control Tower Console

AWS Control Tower crée automatiquement trois rôles lorsque vous configurez une landing zone. Les trois rôles sont requis pour autoriser l'accès à la console. AWS Control Tower divise les autorisations en trois rôles, conformément à la meilleure pratique pour limiter l'accès à un ensemble minimal d'actions et de ressources.

Nous vous recommandons de restreindre l'accès à vos politiques d'approbation pour ces rôles. Pour plus d'informations, consultez Conditions facultatives pour votre rôle et vos relations de confiance.

AWSControlTowerAdmin rôle

Ce rôle permet à AWS Control Tower d'accéder à l'infrastructure essentielle au maintien de la landing zone. Dans laAWSControlTowerAdminle rôle nécessite une politique gérée associée et une politique de confiance des rôles pour le rôle IAM. UNStratégie d'approbation de rôleest une stratégie basée sur les ressources qui spécifie les mandataires qui peuvent assumer le rôle.

Politique gérée pour ce rôle :AWSControlTowerServiceRolePolicy

Dans laAWSControlTowerServiceRolePolicyLa politique gérée par AWS définit les autorisations permettant de créer et de gérer des ressources de la AWS Control Tower telles qu'AWS CloudFormation stacksets et instances de stack, AWS CloudTrail des fichiers journaux, un agrégateur de configuration pour AWS Control Tower, ainsi que des comptes AWS Organizations et des unités organisationnelles (UO) régis par AWS Control Tower.

AWSControlTowerServiceRolePolicy

Nom de la politique gérée :AWSControlTowerServiceRolePolicy

L'artefact JSON pourAWSControlTowerServiceRolePolicyest le suivant :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:GetTemplate", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*", "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*", "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*", "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:GetTrailStatus", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail", "cloudtrail:PutEventSelectors", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "arn:aws:cloudtrail:*:*:trail/aws-controltower*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-controltower*/*" ] }, { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "ec2:DescribeAvailabilityZones", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "organizations:CreateAccount", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListRoots", "organizations:MoveAccount", "servicecatalog:AssociatePrincipalWithPortfolio" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListAttachedRolePolicies", "iam:GetRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole", "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole", "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations" ] }, { "Effect": "Allow", "Action": [ "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator", "config:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "config.amazonaws.com", "cloudtrail.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "cloudtrail.amazonaws.com" } } } ] }

Stratégie d'approbation de rôle :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

La politique en ligne estAWSControlTowerAdminPolicy :

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }

AWSControlTowerStackSetRole

AWS CloudFormationassume ce rôle pour déployer des stack sets dans des comptes créés par AWS Control Tower. Stratégie en ligne :

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }

AWSControlTowerCloudTrailRole

AWS Control Tower permet CloudTrail en tant que meilleure pratique et fournit ce rôle à CloudTrail. CloudTrailassume ce rôle pour créer et publier CloudTrail journaux. Stratégie en ligne :

{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }

Politiques gérées pour AWS Control Tower

Modification Description Date

AWSControlTowerServiceRolePolicy - mise à jour d'une politique existante

AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients de configurer au niveau de l'organisationAWS CloudTrailsentiers, à partir de la version 3.0 de la landing zone.

Basé sur l'organisation CloudTrail la fonctionnalité nécessite que les clients disposent d'un accès sécurisé activé pour CloudTrail service, et l'utilisateur ou rôle IAM doit être autorisé à créer un journal d'activité au niveau de l'organisation dans le compte de gestion.

20 juin 2022

AWSControlTowerServiceRolePolicy : mise à jour d'une politique existante

AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'utiliser le chiffrement par clé KMS.

La fonctionnalité KMS permet aux clients de fournir leur propre clé KMS pour crypter leur AWS CloudTrail journaux. Les clients peuvent également modifier la clé KMS pendant la mise à jour ou la réparation de la landing zone Lorsque vous mettez à jour la clé KMS, AWS CloudFormation a besoin d'autorisations pour appeler l'AWS CloudTrail PutEventSelectorAPI. La modification apportée à la politique vise à autoriserAWSControlTowerAdminrôle pour appeler l'AWS CloudTrail PutEventSelectorAPI.

28 juillet 2021

AWS Control Tower a démarré le suivi des modifications

AWS Control Tower a commencé à assurer le suivi des modifications pour sonAWSStratégies gérées par.

27 mai 2021