必要なロールと許可

AWS Control Tower は IAM ロールを使用してリソースへのアクセスを管理します。

ロールの一般情報については、「User groups, roles, and permission sets」を参照してください。

アクセス許可について

• AWS Control Tower での IAM グループとそのアクセス許可の詳細については、「IAM Identity Center groups for AWS Control Tower」を参照してください。

• アカウントのプロビジョニングに必要なアクセス許可の詳細については、「Permissions required for accounts」を参照してください。

• AWS Control Tower に必要なコンソールアクセス許可の詳細については、「Permissions required to use the AWS Control Tower console」を参照してください。

ロールについて

• プログラムによるアクセス用に設計されたアクセス許可も含め、ロールの作成方法については、「Create roles and assign permissions」および「Programmatic roles and trust relationships for the AWS Control Tower audit account」を参照してください。

• AWS Control Tower がアカウントの管理に使用するその他のロールの詳細については、「Using identity-based policies (IAM policies) for AWS Control Tower」および「Managed policies for AWS Control Tower」を参照してください。

• AWS Control Tower と AWS Config ロールの詳細については、「AWS Control Tower ConfigRecorderRole」を参照してください。

• AWS Control Tower がアカウントの AWS Config 情報を集約するために使用するロールの詳細については、「AWS Control Tower がアンマネージド OU とアカウントで AWS Config ルールを集約する方法 OUs」を参照してください。

• ロールとアクセス許可を割り当てるときにリソースを保護する方法については、「ロールの信頼関係のオプション条件」、「オプションで AWS KMS キーを設定する」、「サービス間のなりすましを防ぐ」を参照してください。

• IAM ロールによる AWS Control Tower での自動アカウントプロビジョニングに関する具体的な情報については、「Automated Account Provisioning with IAM Roles」を参照してください。

• AWS Config SNS トピックを保護するポリシーを表示するには、「SNS AWS Config トピックポリシー」を参照してください。