Usar políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower

Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções) e, assim, conceder permissões para realizar operações em recursos da AWS Control Tower.

Importante

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos da AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower.

Permissões necessárias para usar o AWS Control Tower Console

A AWS Control Tower cria automaticamente três funções ao configurar uma zona de destino do. Todas as três funções são necessárias para permitir o acesso ao console. A AWS Control Tower divide as permissões em três funções como uma melhor prática para restringir o acesso ao mínimo de conjuntos de ações e recursos.

Função AWSControlTowerAdmin

Essa função fornece à AWS Control Tower o acesso à infraestrutura essencial para manter a landing zone da. OAWSControlTowerAdminrequer uma política gerenciada anexada e uma política de confiança de função para a função do IAM. APolítica de confiança da função doÉ uma política baseada em recursos do, especificando quais entidades principais podem assumir a função.

Política gerenciada para esta função:AWSControlTowerServiceRolePolicy

OAWSControlTowerServiceRolePolicyA política gerenciada da AWS define permissões para criar e gerenciar recursos da AWS Control Tower, como conjuntos de pilhas e instâncias de pilha do AWS CloudFormation, arquivos de log do AWS CloudTrail, um agregador de configuração para a AWS Control Tower, bem como contas de AWS Organizations e unidades organizacionais (Ous) regidas por AWS Control Tower.

AWSControlTowerServiceRolePolicy

Nome da política gerenciada pela:AWSControlTowerServiceRolePolicy

O artefato JSON paraAWSControlTowerServiceRolePolicyO é o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:type/resource/AWS-IAM-Role" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStack", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:GetTemplate", "cloudformation:ListStackInstances", "cloudformation:UpdateStack", "cloudformation:UpdateStackInstances", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/AWSControlTower*/*", "arn:aws:cloudformation:*:*:stack/StackSet-AWSControlTower*/*", "arn:aws:cloudformation:*:*:stackset/AWSControlTower*:*", "arn:aws:cloudformation:*:*:stackset-target/AWSControlTower*/*" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:GetTrailStatus", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail", "cloudtrail:PutEventSelectors", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "arn:aws:cloudtrail:*:*:trail/aws-controltower*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::aws-controltower*/*" ] }, { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ] }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "ec2:DescribeAvailabilityZones", "iam:ListRoles", "logs:CreateLogGroup", "logs:DescribeLogGroups", "organizations:CreateAccount", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListRoots", "organizations:MoveAccount", "servicecatalog:AssociatePrincipalWithPortfolio" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetUser", "iam:ListAttachedRolePolicies", "iam:GetRolePolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSControlTowerStackSetRole", "arn:aws:iam::*:role/service-role/AWSControlTowerCloudTrailRole", "arn:aws:iam::*:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations" ] }, { "Effect": "Allow", "Action": [ "config:DeleteConfigurationAggregator", "config:PutConfigurationAggregator", "config:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/aws-control-tower": "managed-by-control-tower" } } }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": "config.amazonaws.com" } } } ] }

Política de confiança da função do:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

A política em linha éAWSControlTowerAdminPolicy:

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] }

AWSControlTowerStackSetRole

AWS CloudFormationO assume essa função para implantar conjuntos de pilhas nas contas criadas pela AWS Control Tower. Política em linha:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] }

AWSControlTowerCloudTrailRole

A AWS Control Tower habilita o CloudTrail como uma melhor prática e fornece essa função ao CloudTrail. O CloudTrail assume essa função para criar e publicar logs do CloudTrail. Política em linha:

{ "Version": "2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] }

Políticas gerenciadas pela AWS Control Tower

Alteração Descrição Data

AWSControlTowerServiceRolePolicy: atualização em uma política existente

A AWS Control Tower adicionou novas permissões que permitem que os clientes usem a criptografia de chave KMS.

O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus logs do AWS CloudTrail. Os clientes também podem alterar a chave KMS durante a atualização ou reparo landing zone. Ao atualizar a chave KMS, o AWS CloudFormation precisa de permissões para chamar o AWS CloudTrailPutEventSelectorAPI. A alteração na política é permitir que oAWSControlTowerAdminpara chamar o AWS CloudTrailPutEventSelectorAPI.

28 de julho de 2021

AWS Control Tower começou a monitorar alterações

AWS Control Tower começou a monitorar alterações para oAWSPolíticas gerenciadas pela.

27 de maio de 2021