Permissões necessárias para usar o AWS Control Tower Console AWSControlTowerAdmin função AWSControlTowerServiceRolePolicy AWSControlTowerStackSetRole AWSControlTowerCloudTrailRole Políticas gerenciadas para o AWS Control Tower

Usar políticas baseadas em identidade (políticas do IAM) para a AWS Control Tower

Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de contas pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceder permissões para executar operações em recursos do AWS Control Tower.

Importante

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos da AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower.

Permissões necessárias para usar o AWS Control Tower Console

A AWS Control Tower cria três funções automaticamente quando você configura uma landing zone. Todas as três funções são necessárias para permitir o acesso ao console. A AWS Control Tower divide as permissões em três funções como uma melhor prática para restringir o acesso aos conjuntos mínimos de ações e recursos.

Três funções necessárias

AWSControlTowerAdmin função
AWSControlTowerStackSetRole
AWSControlTowerCloudTrailRole

Recomendamos que você restrinja o acesso às suas políticas de confiança de função para essas funções. Para obter mais informações, consulte Condições opcionais para suas relações de confiança de função.

AWSControlTowerAdmin função

Essa função fornece à AWS Control Tower o acesso à infraestrutura essencial para manter a landing zone. OAWSControlTowerAdminrole requer uma política gerenciada anexada e uma política de confiança de função para a função do IAM. UMAPolítica de confiança da função doé uma política baseada em recurso que especifica quais entidades principais podem assumir a função.

Política gerenciada para essa função:AWSControlTowerServiceRolePolicy

OAWSControlTowerServiceRolePolicyA política gerenciada da AWS define permissões para criar e gerenciar recursos da AWS Control Tower, como a AWS CloudFormation stacksets e instâncias de pilha, AWS CloudTrail arquivos de log, um agregador de configuração para a AWS Control Tower, bem como contas e unidades organizacionais (OUs) do AWS Organizations que são governadas pela AWS Control Tower.

AWSControlTowerServiceRolePolicy

Nome da política gerenciada pelo:AWSControlTowerServiceRolePolicy

O artefato JSON paraAWSControlTowerServiceRolePolicyé o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateStackInstances",
                "cloudformation:CreateStackSet",
                "cloudformation:DeleteStack",
                "cloudformation:DeleteStackInstances",
                "cloudformation:DeleteStackSet",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackSet",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:ListStackInstances",
                "cloudformation:UpdateStack",
                "cloudformation:UpdateStackInstances",
                "cloudformation:UpdateStackSet"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateStackInstances",
                "cloudformation:CreateStackSet",
                "cloudformation:DeleteStack",
                "cloudformation:DeleteStackInstances",
                "cloudformation:DeleteStackSet",
                "cloudformation:DescribeStackInstance",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackSet",
                "cloudformation:DescribeStackSetOperation",
                "cloudformation:GetTemplate",
                "cloudformation:ListStackInstances",
                "cloudformation:UpdateStack",
                "cloudformation:UpdateStackInstances",
                "cloudformation:UpdateStackSet"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*",
                "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*",
                "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*",
                "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:DeleteTrail",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:StartLogging",
                "cloudtrail:StopLogging",
                "cloudtrail:UpdateTrail",
                "cloudtrail:PutEventSelectors", 
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:PutRetentionPolicy"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
                "arn:aws:cloudtrail:*:*:trail/aws-controltower*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-controltower*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:DescribeTrails",
                "ec2:DescribeAvailabilityZones",
                "iam:ListRoles",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups",
                "organizations:CreateAccount",
                "organizations:DescribeAccount",
                "organizations:DescribeCreateAccountStatus",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribePolicy",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListPoliciesForTarget",
                "organizations:ListTargetsForPolicy",
                "organizations:ListRoots",
                "organizations:MoveAccount",
                "servicecatalog:AssociatePrincipalWithPortfolio"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListAttachedRolePolicies",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole",
                "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole",
                "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "config:DeleteConfigurationAggregator",
                "config:PutConfigurationAggregator",
                "config:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/aws-control-tower": "managed-by-control-tower"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "config.amazonaws.com",
                        "cloudtrail.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "cloudtrail.amazonaws.com"
                }
            }
        }
    ]
}

Política de confiança da função do


{
    "Version": "2012-10-17",
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

A política em linha éAWSControlTowerAdminPolicy:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AWSControlTowerStackSetRole

AWS CloudFormationO assume essa função para implantar conjuntos de pilhas nas contas criadas pela AWS Control Tower. Política em linha:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}

AWSControlTowerCloudTrailRole

AWS Control Tower permite CloudTrail Como uma melhor prática e fornece essa função para o CloudTrail. CloudTrailassume essa função para criar e publicar CloudTrail troncos. Política em linha:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}

Políticas gerenciadas para o AWS Control Tower

Alteração Descrição Data

Alteração	Descrição	Data
AWSControlTowerServiceRolePolicy: atualizar para uma política existente	A AWS Control Tower adicionou novas permissões que permitem que os clientes configurem no nível da organizaçãoAWS CloudTrailtrilhas, começando na versão 3.0 da landing zone. O baseado na organização CloudTrail requer que os clientes tenham acesso confiável habilitado para o CloudTrail e o usuário ou a função do IAM deve ter permissão para criar uma trilha no nível da organização na conta de gerenciamento.	20 de junho de 2022
AWSControlTowerServiceRolePolicy: atualizar para uma política existente	A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chaves KMS. O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar sua AWS CloudTrail troncos. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, a AWS CloudFormation precisa de permissões para ligar para a AWS CloudTrail `PutEventSelector`API. A mudança na política é permitir que oAWSControlTowerAdminfunção para chamar a AWS CloudTrail `PutEventSelector`API.	28 de julho de 2021
O AWS Control Tower começou a monitorar as alterações	O AWS Control Tower começou a monitorar as alterações noAWSPolíticas gerenciadas pela.	27 de maio de 2021

AWSControlTowerServiceRolePolicy: atualizar para uma política existente

A AWS Control Tower adicionou novas permissões que permitem que os clientes configurem no nível da organizaçãoAWS CloudTrailtrilhas, começando na versão 3.0 da landing zone.

O baseado na organização CloudTrail requer que os clientes tenham acesso confiável habilitado para o CloudTrail e o usuário ou a função do IAM deve ter permissão para criar uma trilha no nível da organização na conta de gerenciamento.

20 de junho de 2022

AWSControlTowerServiceRolePolicy: atualizar para uma política existente

A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chaves KMS.

O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar sua AWS CloudTrail troncos. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, a AWS CloudFormation precisa de permissões para ligar para a AWS CloudTrail PutEventSelectorAPI. A mudança na política é permitir que oAWSControlTowerAdminfunção para chamar a AWS CloudTrail PutEventSelectorAPI.

28 de julho de 2021

O AWS Control Tower começou a monitorar as alterações

O AWS Control Tower começou a monitorar as alterações noAWSPolíticas gerenciadas pela.

27 de maio de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Evite ataques confusos de delegados

Validação de compatibilidade