Rôles requis - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles requis

En général, les rôles et les stratégies font partie de la gestion des identités et des accès (IAM) dans AWS. Reportez-vous à laAWSIAM User Guidepour plus d'informations.

AFT crée plusieurs rôles et politiques IAM dans les comptes de gestion AFT et de la AWS Control Tower pour soutenir les opérations du pipeline AFT. Ces rôles sont créés sur la base du modèle d'accès au moindre privilège, qui limite l'autorisation aux ensembles d'actions et de ressources minimalement requis pour chaque rôle et stratégie. Ces rôles et stratégies se voient attribuer unAWSétiquettekey:valuepaire, comme managed_by:AFTpour l'identification.

Outre ces rôles IAM, l'AFT crée trois rôles essentiels :

  • leAWSAFTAdminrôle

  • leAWSAFTExecutionrôle

  • leAWSAFTServicerôle

Ces rôles sont expliqués dans les sections suivantes.

Le AWSAFTAdmin Explication

Lorsque vous déployez AFT, leAWSAFTAdminest créé dans le compte de gestion de l'AFT. Ce rôle permet au pipeline AFT d'assumer leAWSAFTExecutiondans les comptes provisionnés AWS Control Tower et AFT, permettant ainsi d'effectuer des actions liées au provisionnement et aux personnalisations des comptes.

Voici la stratégie en ligne (artefact JSON) attachée auAWSAFTAdminrôle :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] }

L'artefact JSON suivant montre la relation de confiance pour leAWSAFTAdminRôle Espace réservé012345678901est remplacé par le numéro d'identification du compte de gestion de l'AFT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] }

Le AWSAFTExecution Explication

Lorsque vous déployez AFT, leAWSAFTExecutionest créé dans les comptes de gestion AFT et de gestion AWS Control Tower. Plus tard, le pipeline AFT crée leAWSAFTExecutionrôle dans chaque compte provisionné AFT pendant la phase de provisionnement du compte AFT.

L'AFT utilise leAWSControlTowerExecutiondans un premier temps, pour créer leAWSAFTExecutionrôle dans des comptes spécifiés. LeAWSAFTExecutionpermet au pipeline AFT d'exécuter les étapes exécutées pendant les étapes de personnalisation du provisionnement et du provisionnement de l'infrastructure AFT, pour les comptes provisionnés AFT et pour les comptes partagés.

Des rôles distincts vous aident à limiter la portée

Il est recommandé de garder les autorisations de personnalisation séparées des autorisations autorisées lors de votre déploiement initial de ressources. N'oubliez pas que leAWSAFTServiceest destiné au provisionnement de comptes, et leAWSAFTExecutionest destiné à la personnalisation du compte. Cette séparation limite la portée des autorisations autorisées à chaque phase du pipeline. Cette distinction est particulièrement importante si vous personnalisez les comptes partagés AWS Control Tower, car les comptes partagés peuvent contenir des informations sensibles, telles que des informations de facturation ou des informations utilisateur.

Autorisations d'AWSAFTExecutionrôle : AdministratorAccess— une stratégie gérée par AWS

L'artefact JSON suivant montre la stratégie IAM (relation d'approbation) attachée à laAWSAFTExecutionRôle Espace réservé012345678901est remplacé par le numéro d'identification du compte de gestion de l'AFT.

Stratégie d'approbation pourAWSAFTExecution

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] }

Le AWSAFTService Explication

LeAWSAFTServiceLe rôle déploie les ressources AFT dans tous les comptes inscrits et gérés, y compris les comptes partagés et le compte de gestion. Les ressources étaient auparavant déployées par leAWSAFTExecutionrôle uniquement.

LeAWSAFTServiceest destiné à être utilisé par l'infrastructure de services pour déployer des ressources pendant la phase de provisioning, et leAWSAFTExecutionest destiné à être utilisé uniquement pour déployer des personnalisations. En assumant les rôles de cette manière, vous pouvez maintenir un contrôle d'accès plus précis à chaque étape.

Autorisations d'AWSAFTServicerôle : AdministratorAccess— une stratégie gérée par AWS

L'artefact JSON suivant montre la stratégie IAM (relation d'approbation) attachée à laAWSAFTServiceRôle Espace réservé012345678901est remplacé par le numéro d'identification du compte de gestion de l'AFT.

Stratégie d'approbation pourAWSAFTService

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] }