Usar políticas baseadas em identidade (políticas do IAM) para a AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar políticas baseadas em identidade (políticas do IAM) para a AWS Control Tower

Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de contas pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceder permissões para executar operações em recursos do AWS Control Tower.

Importante

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos da AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower.

Permissões necessárias para usar o AWS Control Tower Console

A AWS Control Tower cria três funções automaticamente quando você configura uma landing zone. Todas as três funções são necessárias para permitir o acesso ao console. A AWS Control Tower divide as permissões em três funções como uma melhor prática para restringir o acesso aos conjuntos mínimos de ações e recursos.

Recomendamos que você restrinja o acesso às suas políticas de confiança de função para essas funções. Para obter mais informações, consulte Condições opcionais para suas relações de confiança de função.

AWSControlTowerAdmin função

Essa função fornece à AWS Control Tower o acesso à infraestrutura essencial para manter a landing zone. OAWSControlTowerAdminrole requer uma política gerenciada anexada e uma política de confiança de função para a função do IAM. UMAPolítica de confiança da função doé uma política baseada em recurso que especifica quais entidades principais podem assumir a função.

Política gerenciada para essa função:AWSControlTowerServiceRolePolicy

OAWSControlTowerServiceRolePolicyA política gerenciada da AWS define permissões para criar e gerenciar recursos da AWS Control Tower, como a AWS CloudFormation stacksets e instâncias de pilha, AWS CloudTrail arquivos de log, um agregador de configuração para a AWS Control Tower, bem como contas e unidades organizacionais (OUs) do AWS Organizations que são governadas pela AWS Control Tower.

AWSControlTowerServiceRolePolicy

Nome da política gerenciada pelo:AWSControlTowerServiceRolePolicy

O artefato JSON paraAWSControlTowerServiceRolePolicyé o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:GetTemplate", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*", "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*", "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*", "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:GetTrailStatus", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail", "cloudtrail:PutEventSelectors", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "arn:aws:cloudtrail:*:*:trail/aws-controltower*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-controltower*/*" ] }, { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "ec2:DescribeAvailabilityZones", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "organizations:CreateAccount", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListRoots", "organizations:MoveAccount", "servicecatalog:AssociatePrincipalWithPortfolio" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListAttachedRolePolicies", "iam:GetRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole", "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole", "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations" ] }, { "Effect": "Allow", "Action": [ "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator", "config:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "config.amazonaws.com", "cloudtrail.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "cloudtrail.amazonaws.com" } } } ] }

Política de confiança da função do

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

A política em linha éAWSControlTowerAdminPolicy:

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }

AWSControlTowerStackSetRole

AWS CloudFormationO assume essa função para implantar conjuntos de pilhas nas contas criadas pela AWS Control Tower. Política em linha:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }

AWSControlTowerCloudTrailRole

AWS Control Tower permite CloudTrail Como uma melhor prática e fornece essa função para o CloudTrail. CloudTrailassume essa função para criar e publicar CloudTrail troncos. Política em linha:

{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }

Políticas gerenciadas para o AWS Control Tower

Alteração Descrição Data

AWSControlTowerServiceRolePolicy: atualizar para uma política existente

A AWS Control Tower adicionou novas permissões que permitem que os clientes configurem no nível da organizaçãoAWS CloudTrailtrilhas, começando na versão 3.0 da landing zone.

O baseado na organização CloudTrail requer que os clientes tenham acesso confiável habilitado para o CloudTrail e o usuário ou a função do IAM deve ter permissão para criar uma trilha no nível da organização na conta de gerenciamento.

20 de junho de 2022

AWSControlTowerServiceRolePolicy: atualizar para uma política existente

A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chaves KMS.

O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar sua AWS CloudTrail troncos. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, a AWS CloudFormation precisa de permissões para ligar para a AWS CloudTrail PutEventSelectorAPI. A mudança na política é permitir que oAWSControlTowerAdminfunção para chamar a AWS CloudTrail PutEventSelectorAPI.

28 de julho de 2021

O AWS Control Tower começou a monitorar as alterações

O AWS Control Tower começou a monitorar as alterações noAWSPolíticas gerenciadas pela.

27 de maio de 2021