Fase 1: Crea il ruolo richiesto - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 1: Crea il ruolo richiesto

Prima di iniziare a personalizzare gli account, devi configurare un ruolo che contenga una relazione di fiducia tra AWS Control Tower e il tuo account hub. Se assunto, il ruolo concede ad AWS Control Tower l'accesso per amministrare le risorse nell'account dell'hub. Il ruolo deve essere denominato. AWSControlTowerBlueprintAccess

AWS Control Tower assume questo ruolo per creare una risorsa Portfolio per tuo conto in AWS Service Catalog, quindi aggiungere il tuo blueprint come prodotto Service Catalog a questo portafoglio e quindi condividere questo portafoglio e il tuo blueprint con il tuo account membro durante il provisioning dell'account.

Sarai tu a creare il AWSControlTowerBlueprintAccess ruolo, come spiegato nelle sezioni seguenti. Puoi impostare il ruolo in un account registrato o non registrato.

Accedi alla console IAM per configurare il ruolo richiesto.

Per configurare il AWSControl TowerBlueprintAccess ruolo in un account AWS Control Tower registrato

  1. Federa o accedi come principale nell'account di gestione AWS Control Tower.

  2. Dal principale federato nell'account di gestione, assumi o passa al AWSControlTowerExecution ruolo nell'account AWS Control Tower registrato che scegli per fungere da account Blueprint Hub.

  3. Dal AWSControlTowerExecution ruolo nell'account AWS Control Tower registrato, crea il AWSControlTowerBlueprintAccess ruolo con autorizzazioni e relazioni di fiducia adeguate.

Importante

Per rispettare le linee guida sulle AWS best practice, è importante uscire dal AWSControlTowerExecution ruolo subito dopo averlo creato. AWSControlTowerBlueprintAccess

Per evitare modifiche involontarie alle risorse, il AWSControlTowerExecution ruolo è destinato esclusivamente all'uso da parte di AWS Control Tower.

Se il tuo account blueprint hub non è registrato in AWS Control Tower, il AWSControlTowerExecution ruolo non esisterà nell'account e non è necessario assumerlo prima di continuare con la configurazione del AWSControlTowerBlueprintAccess ruolo.

Per configurare il AWSControl TowerBlueprintAccess ruolo in un account membro non registrato

  1. Federati o accedi come principale all'account che desideri designare come account hub, utilizzando il metodo che preferisci.

  2. Una volta effettuato l'accesso come responsabile dell'account, crea il AWSControlTowerBlueprintAccess ruolo con le autorizzazioni e le relazioni di fiducia appropriate.

Il AWSControlTowerBlueprintAccessruolo deve essere impostato in modo da garantire la fiducia a due responsabili:

  • Il principale (utente) che esegue AWS Control Tower nell'account di gestione AWS Control Tower.

  • Il ruolo indicato AWSControlTowerAdmin nell'account di gestione AWS Control Tower.

Ecco un esempio di policy di fiducia, simile a quella che dovrai includere per il tuo ruolo. Questa politica dimostra la migliore pratica di concedere l'accesso con privilegi minimi. Quando crei la tua policy, sostituisci il termine YourManagementAccountId con l'ID account effettivo del tuo account di gestione AWS Control Tower e sostituisci il termine YourControlTowerUserRole con l'identificatore del ruolo IAM per il tuo account di gestione.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Policy sulle autorizzazioni richieste

AWS Control Tower richiede che la policy AWSServiceCatalogAdminFullAccess gestita denominata sia associata al AWSControlTowerBlueprintAccess ruolo. Questa policy fornisce le autorizzazioni necessarie quando consente ad AWS Control Tower di amministrare il portafoglio e le risorse AWS Service Catalog del prodotto. AWS Service Catalog Puoi allegare questa policy quando crei il ruolo nella console IAM.

Potrebbero essere necessarie autorizzazioni aggiuntive

  • Se memorizzi i tuoi blueprint in Amazon S3, AWS Control Tower richiede anche AmazonS3ReadOnlyAccess la politica di autorizzazione per AWSControlTowerBlueprintAccess il ruolo.

  • Il tipo di prodotto AWS Service Catalog Terraform richiede l'aggiunta di alcune autorizzazioni aggiuntive alla politica IAM personalizzata AFC, se non utilizzi la politica di amministrazione predefinita. Li richiede oltre alle autorizzazioni necessarie per creare le risorse definite nel modello terraform.