Perfis necessários - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perfis necessários

Em geral, os perfis e as políticas fazem parte do Identity and Access Management (IAM) na AWS. Consulte mais informações no Guia do usuário do AWS IAM.

O AFT cria várias políticas e perfil do IAM nas contas de gerenciamento do AFT e do AWS Control Tower para apoiar as operações do pipeline do AFT. Esses perfis são criados com base no modelo de acesso com privilégio mínimo, que restringe a permissão aos conjuntos mínimos de ações e recursos necessários para cada perfil e política. Essas funções e políticas são atribuídas a um key:value par de AWS tags, managed_by:AFT para identificação.

Além desses perfis do IAM, o AFT cria três perfis essenciais:

  • o perfil AWSAFTAdmin

  • o perfil AWSAFTExecution

  • o perfil AWSAFTService

Esses perfis são explicados nas seções a seguir.

O AWSAFTAdmin papel, explicado

Quando você implanta o AFT, o perfil AWSAFTAdmin é criado na conta de gerenciamento do AFT. Esse perfil permite que o pipeline do AFT assuma o perfil AWSAFTExecution nas contas provisionadas do AWS Control Tower e do AFT, realizando, assim, ações relacionadas ao provisionamento e às personalizações da conta.

Aqui está a política em linha (artefato JSON) anexada ao perfil AWSAFTAdmin:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

O artefato JSON a seguir mostra a relação de confiança do perfil AWSAFTAdmin. O número do espaço reservado 012345678901 é substituído pelo número de ID da conta de gerenciamento do AFT.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

O AWSAFTExecution papel, explicado

Ao implantar o AFT, o perfil AWSAFTExecution é criado nas contas de gerenciamento do AFT e do AWS Control Tower. Posteriormente, o pipeline do AFT cria o perfil AWSAFTExecution em cada conta provisionada do AFT durante o estágio de provisionamento de conta do AFT.

O AFT utiliza o perfil AWSControlTowerExecution inicialmente, para criar o perfil AWSAFTExecution em contas especificadas. O perfil AWSAFTExecution permite que o pipeline do AFT execute as etapas que são realizadas durante os estágios de provisionamento e personalização do framework do AFT, para contas provisionadas e contas compartilhadas do AFT.

Perfis distintos ajudam a limitar o escopo

Como prática recomendada, mantenha as permissões de personalização separadas das permissões concedidas durante a implantação inicial dos recursos. Lembre-se de que o perfil AWSAFTService se destina ao provisionamento de contas e o perfil AWSAFTExecution à personalização de contas. Essa separação limita o escopo das permissões concedidas durante cada fase do pipeline. Essa distinção é especialmente importante se você estiver personalizando as contas compartilhadas do AWS Control Tower, porque as contas compartilhadas podem conter informações confidenciais, como detalhes de faturamento ou informações do usuário.

Permissões para AWSAFTExecution função: AdministratorAccess— uma política gerenciada pela AWS

O artefato JSON a seguir mostra a política do IAM (relação de confiança) anexada ao perfil AWSAFTExecution. O número do espaço reservado 012345678901 é substituído pelo número de ID da conta de gerenciamento do AFT.

Política de confiança para AWSAFTExecution

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

O AWSAFTService papel, explicado

O perfil AWSAFTService implanta recursos do AFT em todas as contas registradas e gerenciadas, incluindo as contas compartilhadas e a conta de gerenciamento. Anteriormente, os recursos eram implantados somente pelo perfil AWSAFTExecution.

O perfil AWSAFTService deve ser usado pela infraestrutura de serviços para implantar recursos durante o estágio de provisionamento, e o perfil AWSAFTExecution deve ser usado somente para implantar personalizações. Ao assumir os perfis dessa forma, você pode manter um controle de acesso mais granular durante cada estágio.

Permissões para AWSAFTService função: AdministratorAccess— uma política gerenciada pela AWS

O artefato JSON a seguir mostra a política do IAM (relação de confiança) anexada ao perfil AWSAFTService. O número do espaço reservado 012345678901 é substituído pelo número de ID da conta de gerenciamento do AFT.

Política de confiança para AWSAFTService

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}