Étape 1. Créez le rôle requis - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1. Créez le rôle requis

Avant de commencer à personnaliser les comptes, vous devez configurer un rôle contenant une relation de confiance entre AWS Control Tower et votre compte hub. Lorsqu'il est assumé, le rôle accorde à AWS Control Tower l'accès pour administrer les ressources du compte du hub. Le rôle doit être nommé AWSControlTowerBlueprintAccess.

AWS Control Tower assume ce rôle pour créer une ressource de portefeuille en votre nom AWS Service Catalog, puis pour ajouter votre plan en tant que produit Service Catalog à ce portefeuille, puis pour partager ce portefeuille, ainsi que votre plan, avec votre compte membre lors de la mise en service du compte.

Vous allez créer le AWSControlTowerBlueprintAccess rôle, comme expliqué dans les sections suivantes. Vous pouvez configurer le rôle dans un compte inscrit ou non inscrit.

Accédez à la console IAM pour configurer le rôle requis.

Pour configurer le AWSControl TowerBlueprintAccess rôle dans un compte AWS Control Tower inscrit

  1. Fédérez ou connectez-vous en tant que principal dans le compte de gestion AWS Control Tower.

  2. Depuis le principal fédéré du compte de gestion, assumez ou changez de rôle pour accéder au AWSControlTowerExecution rôle du compte AWS Control Tower inscrit que vous avez sélectionné pour servir de compte Blueprint Hub.

  3. À partir du AWSControlTowerExecution rôle figurant dans le compte AWS Control Tower inscrit, créez le AWSControlTowerBlueprintAccess rôle avec les autorisations et les relations de confiance appropriées.

Important

Pour respecter les directives relatives aux AWS meilleures pratiques, il est important de vous déconnecter du AWSControlTowerExecution rôle immédiatement après l'AWSControlTowerBlueprintAccessavoir créé.

Pour éviter toute modification involontaire des ressources, le AWSControlTowerExecution rôle est destiné à être utilisé uniquement par AWS Control Tower.

Si votre compte Blueprint Hub n'est pas inscrit à AWS Control Tower, le AWSControlTowerExecution rôle n'existera pas dans le compte et il n'est pas nécessaire de l'assumer avant de continuer à le AWSControlTowerBlueprintAccess configurer.

Pour configurer le AWSControl TowerBlueprintAccess rôle dans un compte de membre non inscrit

  1. Fédérez ou connectez-vous en tant que principal au compte que vous souhaitez désigner comme compte hub, selon la méthode de votre choix.

  2. Lorsque vous êtes connecté en tant que principal du compte, créez le AWSControlTowerBlueprintAccess rôle avec les autorisations et les relations de confiance appropriées.

Le AWSControlTowerBlueprintAccessrôle doit être configuré de manière à accorder la confiance à deux principaux :

  • Le principal (utilisateur) qui exécute AWS Control Tower dans le compte de gestion AWS Control Tower.

  • Le rôle indiqué AWSControlTowerAdmin dans le compte de gestion AWS Control Tower.

Voici un exemple de politique de confiance, similaire à celle que vous devrez inclure pour votre rôle. Cette politique illustre la meilleure pratique consistant à accorder un accès avec le moindre privilège. Lorsque vous établissez votre propre politique, remplacez le terme YourManagementAccountId par l'identifiant de compte réel de votre compte de gestion AWS Control Tower, et remplacez le terme YourControlTowerUserRole par l'identifiant du rôle IAM pour votre compte de gestion.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Politique d'autorisations requises

AWS Control Tower exige que la politique gérée nommée AWSServiceCatalogAdminFullAccess soit attachée au AWSControlTowerBlueprintAccess rôle. Cette politique fournit des autorisations qui AWS Service Catalog déterminent quand elle autorise AWS Control Tower à administrer votre portefeuille et les ressources de vos AWS Service Catalog produits. Vous pouvez associer cette politique lorsque vous créez le rôle dans la console IAM.

Des autorisations supplémentaires peuvent être requises

  • Si vous stockez vos plans dans Amazon S3, AWS Control Tower a également besoin de la politique AmazonS3ReadOnlyAccess d'autorisation associée au AWSControlTowerBlueprintAccess rôle.

  • Le type de produit AWS Service Catalog Terraform vous oblige à ajouter des autorisations supplémentaires à la politique IAM personnalisée de l'AFC, si vous n'utilisez pas la politique d'administration par défaut. Il les nécessite en plus des autorisations requises pour créer les ressources que vous définissez dans votre modèle Terraform.