Langkah 1. Buat peran yang diperlukan - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1. Buat peran yang diperlukan

Sebelum mulai menyesuaikan akun, Anda harus menyiapkan peran yang berisi hubungan kepercayaan antara AWS Control Tower dan akun hub Anda. Saat diasumsikan, peran tersebut memberikan akses AWS Control Tower untuk mengelola sumber daya di akun hub. Peran itu harus diberi nama AWSControlTowerBlueprintAccess.

AWS Control Tower mengasumsikan peran ini untuk membuat sumber daya Portofolio atas nama Anda AWS Service Catalog, lalu menambahkan cetak biru Anda sebagai Produk Katalog Layanan ke Portofolio ini, dan kemudian membagikan Portofolio ini, dan cetak biru Anda, dengan akun anggota Anda selama penyediaan akun.

Anda akan membuat AWSControlTowerBlueprintAccess peran, seperti yang dijelaskan di bagian berikut. Anda dapat mengatur peran di akun terdaftar atau tidak terdaftar.

Arahkan ke konsol IAM untuk mengatur peran yang diperlukan.

Untuk mengatur AWSControl TowerBlueprintAccess peran dalam akun AWS Control Tower yang terdaftar

  1. Buat federasi atau masuk sebagai prinsipal di akun manajemen AWS Control Tower.

  2. Dari prinsipal federasi di akun manajemen, asumsikan atau alihkan peran ke AWSControlTowerExecution peran di akun AWS Control Tower terdaftar yang Anda pilih untuk dijadikan akun hub cetak biru.

  3. Dari AWSControlTowerExecution peran di akun AWS Control Tower yang terdaftar, buat AWSControlTowerBlueprintAccess peran dengan izin dan hubungan kepercayaan yang tepat.

penting

Untuk mematuhi panduan praktik AWS terbaik, penting bagi Anda untuk segera keluar dari AWSControlTowerExecution peran tersebut setelah Anda membuat AWSControlTowerBlueprintAccess peran.

Untuk mencegah perubahan sumber daya yang tidak diinginkan, AWSControlTowerExecution peran ini dimaksudkan untuk digunakan oleh AWS Control Tower saja.

Jika akun hub cetak biru Anda tidak terdaftar di AWS Control Tower, AWSControlTowerExecution peran tersebut tidak akan ada di akun, dan tidak perlu berasumsi sebelum melanjutkan pengaturan peran. AWSControlTowerBlueprintAccess

Untuk mengatur AWSControl TowerBlueprintAccess peran dalam akun anggota yang tidak terdaftar

  1. Federasi atau masuk sebagai kepala sekolah di akun yang ingin Anda tetapkan sebagai akun hub, melalui metode pilihan Anda.

  2. Saat masuk sebagai prinsipal di akun, buat AWSControlTowerBlueprintAccess peran dengan izin dan hubungan kepercayaan yang tepat.

AWSControlTowerBlueprintAccessPeran harus diatur untuk memberikan kepercayaan kepada dua kepala sekolah:

  • Prinsipal (pengguna) yang menjalankan AWS Control Tower di akun manajemen AWS Control Tower.

  • Peran yang disebutkan AWSControlTowerAdmin dalam akun manajemen AWS Control Tower.

Berikut adalah contoh kebijakan kepercayaan, mirip dengan yang perlu Anda sertakan untuk peran Anda. Kebijakan ini menunjukkan praktik terbaik dalam memberikan akses hak istimewa paling sedikit. Saat Anda membuat kebijakan sendiri, ganti istilah YourManagementAccountId dengan ID acccount aktual akun manajemen AWS Control Tower Anda, dan ganti istilah tersebut YourControlTowerUserRole dengan pengenal peran IAM untuk akun manajemen Anda.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Kebijakan izin yang diperlukan

AWS Control Tower mengharuskan kebijakan terkelola yang diberi nama AWSServiceCatalogAdminFullAccess harus dilampirkan ke AWSControlTowerBlueprintAccess peran. Kebijakan ini memberikan izin yang AWS Service Catalog dicari ketika AWS Control Tower mengizinkan AWS Control Tower mengelola portofolio dan sumber daya AWS Service Catalog Produk Anda. Anda dapat melampirkan kebijakan ini saat membuat peran di konsol IAM.

Izin tambahan mungkin diperlukan

  • Jika Anda menyimpan cetak biru di Amazon S3, AWS Control Tower juga memerlukan kebijakan AmazonS3ReadOnlyAccess izin untuk peran tersebut. AWSControlTowerBlueprintAccess

  • Jenis produk AWS Service Catalog Terraform mengharuskan Anda menambahkan beberapa izin tambahan ke kebijakan IAM kustom AFC, jika Anda tidak menggunakan kebijakan Admin default. Ini membutuhkan ini selain izin yang diperlukan untuk membuat sumber daya yang Anda tentukan di templat terraform Anda.