As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceder permissões para realizar operações em recursos da AWS Control Tower.
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos da AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower.
Permissões necessárias para usar o AWS Control Tower Console
A AWS Control Tower cria automaticamente três funções ao configurar uma zona de destino do. Todas as três funções são necessárias para permitir o acesso ao console. A AWS Control Tower divide as permissões em três funções como uma melhor prática para restringir o acesso ao mínimo de conjuntos de ações e recursos.
Três funções necessárias
Função AWSControlTowerAdmin
Essa função fornece à AWS Control Tower o acesso à infraestrutura essencial para manter a landing zone da. OAWSControlTowerAdminrequer uma política gerenciada anexada e uma política de confiança de função para a função do IAM. APolítica de confiança da função doÉ uma política baseada em recursos do, especificando quais entidades principais podem assumir a função.
Política gerenciada para esta função:AWSControlTowerServiceRolePolicy
OAWSControlTowerServiceRolePolicyA política gerenciada da AWS define permissões para criar e gerenciar recursos da AWS Control Tower, como conjuntos de pilhas e instâncias de pilha do AWS CloudFormation, arquivos de log do AWS CloudTrail, um agregador de configuração para a AWS Control Tower, bem como contas de AWS Organizations e unidades organizacionais (Ous) regidas por AWS Control Tower.
AWSControlTowerServiceRolePolicy
Nome da política gerenciada pela:AWSControlTowerServiceRolePolicy
O artefato JSON paraAWSControlTowerServiceRolePolicyO é o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:GetTemplate", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*", "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*", "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*", "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:GetTrailStatus", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail", "cloudtrail:PutEventSelectors", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "arn:aws:cloudtrail:*:*:trail/aws-controltower*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-controltower*/*" ] }, { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "ec2:DescribeAvailabilityZones", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "organizations:CreateAccount", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListRoots", "organizations:MoveAccount", "servicecatalog:AssociatePrincipalWithPortfolio" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListAttachedRolePolicies", "iam:GetRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole", "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole", "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations" ] }, { "Effect": "Allow", "Action": [ "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator", "config:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": "config.amazonaws.com" } } } ] }
Política de confiança da função do:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
A política em linha éAWSControlTowerAdminPolicy:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }
AWSControlTowerStackSetRole
AWS CloudFormationO assume essa função para implantar conjuntos de pilhas nas contas criadas pela AWS Control Tower. Política em linha:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }
AWSControlTowerCloudTrailRole
A AWS Control Tower habilita o CloudTrail como uma melhor prática e fornece essa função ao CloudTrail. O CloudTrail assume essa função para criar e publicar logs do CloudTrail. Política em linha:
{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }
Políticas gerenciadas pela AWS Control Tower
| Alteração | Descrição | Data |
|---|---|---|
|
AWSControlTowerServiceRolePolicy: atualização em uma política existente |
A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chave KMS. O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus logs do AWS CloudTrail. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, o AWS CloudFormation precisa de permissões para chamar o AWS CloudTrail |
28 de julho de 2021 |
|
AWS Control Tower começou a monitorar alterações |
AWS Control Tower começou a monitorar alterações para oAWSPolíticas gerenciadas pela. |
27 de maio de 2021 |
