As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar políticas baseadas em identidade (políticas do IAM) para a AWS Control Tower
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de contas pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceder permissões para executar operações em recursos do AWS Control Tower.
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos da AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower.
Permissões necessárias para usar o AWS Control Tower Console
A AWS Control Tower cria três funções automaticamente quando você configura uma landing zone. Todas as três funções são necessárias para permitir o acesso ao console. A AWS Control Tower divide as permissões em três funções como uma melhor prática para restringir o acesso aos conjuntos mínimos de ações e recursos.
Três funções necessárias
Recomendamos que você restrinja o acesso às suas políticas de confiança de função para essas funções. Para obter mais informações, consulte Condições opcionais para suas relações de confiança de função.
AWSControlTowerAdmin função
Essa função fornece à AWS Control Tower o acesso à infraestrutura essencial para manter a landing zone. OAWSControlTowerAdmin
role requer uma política gerenciada anexada e uma política de confiança de função para a função do IAM. UMAPolítica de confiança da função doé uma política baseada em recurso que especifica quais entidades principais podem assumir a função.
Política gerenciada para essa função:AWSControlTowerServiceRolePolicy
OAWSControlTowerServiceRolePolicyA política gerenciada da AWS define permissões para criar e gerenciar recursos da AWS Control Tower, como a AWS CloudFormation stacksets e instâncias de pilha, AWS CloudTrail arquivos de log, um agregador de configuração para a AWS Control Tower, bem como contas e unidades organizacionais (OUs) do AWS Organizations que são governadas pela AWS Control Tower.
AWSControlTowerServiceRolePolicy
Nome da política gerenciada pelo:AWSControlTowerServiceRolePolicy
O artefato JSON paraAWSControlTowerServiceRolePolicy
é o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:GetTemplate", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*", "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*", "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*", "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:GetTrailStatus", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail", "cloudtrail:PutEventSelectors", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "arn:aws:cloudtrail:*:*:trail/aws-controltower*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-controltower*/*" ] }, { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "ec2:DescribeAvailabilityZones", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "organizations:CreateAccount", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListRoots", "organizations:MoveAccount", "servicecatalog:AssociatePrincipalWithPortfolio" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListAttachedRolePolicies", "iam:GetRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole", "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole", "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations" ] }, { "Effect": "Allow", "Action": [ "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator", "config:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "config.amazonaws.com", "cloudtrail.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "cloudtrail.amazonaws.com" } } } ] }
Política de confiança da função do
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
A política em linha éAWSControlTowerAdminPolicy
:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }
AWSControlTowerStackSetRole
AWS CloudFormationO assume essa função para implantar conjuntos de pilhas nas contas criadas pela AWS Control Tower. Política em linha:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }
AWSControlTowerCloudTrailRole
AWS Control Tower permite CloudTrail Como uma melhor prática e fornece essa função para o CloudTrail. CloudTrailassume essa função para criar e publicar CloudTrail troncos. Política em linha:
{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }
Políticas gerenciadas para o AWS Control Tower
Alteração | Descrição | Data |
---|---|---|
AWSControlTowerServiceRolePolicy: atualizar para uma política existente |
A AWS Control Tower adicionou novas permissões que permitem que os clientes configurem no nível da organizaçãoAWS CloudTrailtrilhas, começando na versão 3.0 da landing zone. O baseado na organização CloudTrail requer que os clientes tenham acesso confiável habilitado para o CloudTrail e o usuário ou a função do IAM deve ter permissão para criar uma trilha no nível da organização na conta de gerenciamento. |
20 de junho de 2022 |
AWSControlTowerServiceRolePolicy: atualizar para uma política existente |
A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chaves KMS. O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar sua AWS CloudTrail troncos. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, a AWS CloudFormation precisa de permissões para ligar para a AWS CloudTrail |
28 de julho de 2021 |
O AWS Control Tower começou a monitorar as alterações |
O AWS Control Tower começou a monitorar as alterações noAWSPolíticas gerenciadas pela. |
27 de maio de 2021 |