Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana AWS Control Tower bekerja dengan peran untuk membuat dan mengelola akun
Secara umum, peran adalah bagian dari identitas dan manajemen akses (IAM) dalam AWS. Untuk informasi umum tentang IAM dan peran dalam AWS, lihat topik IAM peran di AWS IAMPanduan Pengguna
Peran dan pembuatan akun
AWSControl Tower membuat akun pelanggan dengan CreateAccount API menghubungi AWS Organizations. Kapan AWS Organizations membuat akun ini, itu menciptakan peran dalam akun itu, yang diberi nama AWS Control Tower dengan meneruskan parameter ke akunAPI. Nama perannya adalahAWSControlTowerExecution.
AWSControl Tower mengambil alih AWSControlTowerExecution peran untuk semua akun yang dibuat oleh Account Factory. Dengan menggunakan peran ini, AWS Control Tower membuat dasar akun dan menerapkan kontrol wajib (dan lainnya yang diaktifkan), yang menghasilkan pembuatan peran lain. Peran ini pada gilirannya digunakan oleh layanan lain, seperti AWS Config.
catatan
Untuk mendasarkan akun berarti menyiapkan sumber dayanya, yang mencakup template Account Factory, kadang-kadang disebut sebagai cetak biru, dan kontrol. Proses baselining juga mengatur pencatatan terpusat dan peran audit keamanan pada akun, sebagai bagian dari penerapan templat. AWSGaris dasar Control Tower terdapat dalam peran yang Anda terapkan pada setiap akun yang terdaftar.
Untuk informasi selengkapnya tentang akun dan sumber daya, lihatTentang Akun AWS di AWS Control Tower.
Bagaimana AWS Control Tower agregat AWS Config aturan di tidak dikelola OUs dan akun
Akun manajemen AWS Control Tower membuat agregator tingkat organisasi, yang membantu mendeteksi eksternal AWS Config aturan, sehingga AWS Control Tower tidak perlu mendapatkan akses ke akun yang tidak dikelola. Konsol AWS Control Tower menunjukkan berapa banyak yang dibuat secara eksternal AWS Config aturan yang Anda miliki untuk akun tertentu. Anda dapat melihat detail tentang aturan eksternal tersebut di tab Kepatuhan Aturan Konfigurasi Eksternal di halaman Detail Akun.
Untuk membuat agregator, AWS Control Tower menambahkan peran dengan izin yang diperlukan untuk mendeskripsikan organisasi dan membuat daftar akun di bawahnya. AWSControlTowerConfigAggregatorRoleForOrganizationsPeran tersebut membutuhkan kebijakan yang AWSConfigRoleForOrganizations dikelola dan hubungan kepercayaan denganconfig.amazonaws.com.
Berikut adalah IAM kebijakan (JSONartefak) yang melekat pada peran:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }
Inilah hubungan AWSControlTowerConfigAggregatorRoleForOrganizations kepercayaannya:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } }
Untuk menerapkan fungsionalitas ini di akun manajemen, izin berikut ditambahkan dalam kebijakan terkelolaAWSControlTowerServiceRolePolicy, yang digunakan oleh AWSControlTowerAdmin peran saat membuat AWS Config agregator:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "config:PutConfigurationAggregator", "config:DeleteConfigurationAggregator", "iam:PassRole" ], "Resource": [ "arn:aws:iam:::role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations", "arn:aws:config:::config-aggregator/" ] }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*" } ] }
Sumber daya baru dibuat: AWSControlTowerConfigAggregatorRoleForOrganizations dan aws-controltower-ConfigAggregatorForOrganizations
Ketika Anda siap, Anda dapat mendaftarkan akun satu per satu, atau mendaftarkannya sebagai grup dengan mendaftarkan OU. Ketika Anda telah mendaftarkan akun, jika Anda membuat aturan di AWS Config, AWS Control Tower mendeteksi aturan baru. Agregator menunjukkan jumlah aturan eksternal dan menyediakan tautan ke AWS Config konsol tempat Anda dapat melihat detail setiap aturan eksternal untuk akun Anda. Gunakan informasi di AWS Config konsol dan konsol AWS Control Tower untuk menentukan apakah Anda mengaktifkan kontrol yang sesuai untuk akun tersebut.
Peran terprogram dan hubungan kepercayaan untuk akun audit AWS Control Tower
Anda dapat masuk ke akun audit dan berperan untuk meninjau akun lain secara terprogram. Akun audit tidak memungkinkan Anda untuk masuk ke akun lain secara manual.
Akun audit memberi Anda akses terprogram ke akun lain, melalui beberapa peran yang diberikan kepada AWS Lambda hanya berfungsi. Untuk tujuan keamanan, peran ini memiliki hubungan kepercayaan dengan peran lain, yang berarti bahwa kondisi di mana peran dapat digunakan didefinisikan secara ketat.
Tumpukan AWS Control Tower StackSet-AWSControlTowerBP-BASELINE-ROLES membuat IAM peran lintas akun khusus program ini di akun audit:
-
aws-menara pengendali- AdministratorExecutionRole
-
aws-menara pengendali- ReadOnlyExecutionRole
Tumpukan AWS Control Tower StackSet-AWSControlTowerSecurityResources membuat IAM peran lintas akun khusus program ini di akun audit:
-
aws-menara pengendali- AuditAdministratorRole
-
aws-menara pengendali- AuditReadOnlyRole
ReadOnlyExecutionRole:Perhatikan bahwa peran ini memungkinkan akun audit membaca objek di bucket Amazon S3 di seluruh organisasi (berbeda dengan SecurityAudit kebijakan, yang hanya mengizinkan akses metadata).
aws-controltower-: AdministratorExecutionRole
-
Memiliki izin administrator
-
Tidak dapat diasumsikan dari konsol
-
Dapat diasumsikan hanya dengan peran dalam akun audit -
aws-controltower-AuditAdministratorRole
Artefak berikut menunjukkan hubungan kepercayaan untukaws-controltower-AdministratorExecutionRole. Nomor placeholder 012345678901 akan diganti dengan Audit_acct_ID nomor untuk akun audit Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditAdministratorRole" }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: AuditAdministratorRole
-
Dapat diasumsikan oleh AWS Hanya layanan Lambda
-
Memiliki izin untuk melakukan operasi baca (Dapatkan) dan tulis (Put) pada objek Amazon S3 dengan nama yang dimulai dengan log string
Kebijakan terlampir:
1. AWSLambdaExecute— AWS Kebijakan terkelola
2. AssumeRole-aws-controltower- AuditAdministratorRole - kebijakan inline - Dibuat oleh AWS Control Tower, artefak mengikuti.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-AdministratorExecutionRole" ], "Effect": "Allow" } ] }
Artefak berikut menunjukkan hubungan kepercayaan untukaws-controltower-AuditAdministratorRole:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: ReadOnlyExecutionRole
-
Tidak dapat diasumsikan dari konsol
-
Dapat diasumsikan hanya dengan peran lain dalam akun audit -
AuditReadOnlyRole
Artefak berikut menunjukkan hubungan kepercayaan untukaws-controltower-ReadOnlyExecutionRole. Nomor placeholder 012345678901 akan diganti dengan Audit_acct_ID nomor untuk akun audit Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditReadOnlyRole " }, "Action": "sts:AssumeRole" } ] }
aws-controltower-: AuditReadOnlyRole
-
Dapat diasumsikan oleh AWS Hanya layanan Lambda
-
Memiliki izin untuk melakukan operasi baca (Dapatkan) dan tulis (Put) pada objek Amazon S3 dengan nama yang dimulai dengan log string
Kebijakan terlampir:
1. AWSLambdaExecute— AWS Kebijakan terkelola
2. AssumeRole-aws-controltower- AuditReadOnlyRole - kebijakan inline - Dibuat oleh AWS Control Tower, artefak mengikuti.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-ReadOnlyExecutionRole" ], "Effect": "Allow" } ] }
Artefak berikut menunjukkan hubungan kepercayaan untukaws-controltower-AuditAdministratorRole:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Penyediaan Akun Otomatis Dengan Peran IAM
Untuk mengonfigurasi akun Account Factory dengan cara yang lebih otomatis, Anda dapat membuat fungsi Lambda di akun manajemen AWS Control Tower, yang mengasumsikan AWSControlTowerExecutionperan
Jika Anda menyediakan akun menggunakan fungsi Lambda, identitas yang akan melakukan pekerjaan ini harus memiliki kebijakan IAM izin berikut, sebagai tambahan. AWSServiceCatalogEndUserFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSControlTowerAccountFactoryAccess", "Effect": "Allow", "Action": [ "sso:GetProfile", "sso:CreateProfile", "sso:UpdateProfile", "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:GetSSOStatus", "sso:GetTrust", "sso:CreateTrust", "sso:UpdateTrust", "sso:GetPeregrineStatus", "sso:GetApplicationInstance", "sso:ListDirectoryAssociations", "sso:ListPermissionSets", "sso:GetPermissionSet", "sso:ProvisionApplicationInstanceForAWSAccount", "sso:ProvisionApplicationProfileForAWSAccountInstance", "sso:ProvisionSAMLProvider", "sso:ListProfileAssociations", "sso-directory:ListMembersInGroup", "sso-directory:AddMemberToGroup", "sso-directory:SearchGroups", "sso-directory:SearchGroupsWithGroupName", "sso-directory:SearchUsers", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:DescribeDirectory", "sso-directory:GetUserPoolInfo", "controltower:CreateManagedAccount", "controltower:DescribeManagedAccount", "controltower:DeregisterManagedAccount", "s3:GetObject", "organizations:describeOrganization", "sso:DescribeRegisteredRegions" ], "Resource": "*" } ] }
Izinsso:GetPeregrineStatus,, sso:ProvisionApplicationInstanceForAWSAccountsso:ProvisionApplicationProfileForAWSAccountInstance, dan sso:ProvisionSAMLProvide diwajibkan oleh AWS Control Tower Account Factory untuk berinteraksi AWS IAMPusat Identitas.
