Etapa 1. Crie o perfil exigido - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1. Crie o perfil exigido

Antes de começar a personalizar contas, você deve configurar um perfil que contenha uma relação de confiança entre o AWS Control Tower e sua conta central. Quando assumida, a função concede à AWS Control Tower acesso para administrar os recursos na conta do hub. A função deve ser nomeada AWSControlTowerBlueprintAccess.

O AWS Control Tower assume essa função para criar um recurso de portfólio em seu nome e AWS Service Catalog, em seguida, adicionar seu plano como um produto do Service Catalog a esse portfólio e, em seguida, compartilhar esse portfólio e seu plano com sua conta membro durante o provisionamento da conta.

Você criará o perfil AWSControlTowerBlueprintAccess, conforme explicado nas seções a seguir. Você pode configurar a função em uma conta inscrita ou não inscrita.

Acesse o console do IAM para configurar o perfil necessário.

Para configurar a AWSControl TowerBlueprintAccess função em uma conta registrada do AWS Control Tower

  1. Federar ou fazer login como entidade principal na conta de gerenciamento do AWS Control Tower.

  2. Da entidade principal federada na conta de gerenciamento, assuma ou troque os perfis para o perfil AWSControlTowerExecution na conta inscrita do AWS Control Tower que você selecionou para servir como a conta central do esquema.

  3. Pelo perfil AWSControlTowerExecution na conta inscrita do AWS Control Tower, crie o perfil AWSControlTowerBlueprintAccess com relações de confiança e permissões adequadas.

Importante

Para cumprir as diretrizes de AWS melhores práticas, é importante que você saia da AWSControlTowerExecution função imediatamente após criá-la. AWSControlTowerBlueprintAccess

Para evitar alterações não intencionais nos recursos, o perfil AWSControlTowerExecution deve ser usado somente pelo AWS Control Tower.

Se a conta central do esquema não estiver inscrita no AWS Control Tower, o perfil AWSControlTowerExecution não existirá na conta e não há necessidade de assumi-lo antes de continuar com a configuração do perfil AWSControlTowerBlueprintAccess.

Para configurar a AWSControl TowerBlueprintAccess função em uma conta de membro não inscrito

  1. Federe ou faça login como entidade principal na conta que você deseja designar como conta central, por meio de seu método preferido.

  2. Ao fazer login como entidade principal na conta, crie o perfil AWSControlTowerBlueprintAccess com as relações de confiança e as permissões adequadas.

A AWSControlTowerBlueprintAccessfunção deve ser configurada para conceder confiança a dois diretores:

  • A entidade principal (usuário) que executa o AWS Control Tower na conta de gerenciamento desse serviço.

  • O perfil nomeado AWSControlTowerAdmin na conta de gerenciamento do AWS Control Tower.

Aqui está um exemplo de política de confiança, semelhante à que você precisará incluir para o perfil. Essa política demonstra as práticas recomendadas para conceder acesso com privilégio mínimo. Ao criar sua própria política, substitua o termo YourManagementAccountId pelo ID da conta real da conta de gerenciamento do AWS Control Tower e substitua o termo YourControlTowerUserRole pelo identificador do perfil do IAM da sua conta de gerenciamento.

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Política de permissões necessária

O AWS Control Tower exige que a política gerenciada nomeada AWSServiceCatalogAdminFullAccess seja anexada ao perfil AWSControlTowerBlueprintAccess. Essa política fornece permissões que você AWS Service Catalog verifica quando permite que o AWS Control Tower administre seu portfólio e os recursos AWS Service Catalog do produto. Você pode anexar essa política ao criar o perfil no console do IAM.

Permissões adicionais podem ser necessárias

  • Se você armazena seus esquemas no Amazon S3, o AWS Control Tower também exige a política de permissão AmazonS3ReadOnlyAccess para o perfil AWSControlTowerBlueprintAccess.

  • O tipo de produto AWS Service Catalog Terraform exige que você adicione algumas permissões adicionais à política de IAM personalizada do AFC, caso não utilize a política de administração padrão. Isso é necessário, além das permissões necessárias para criar os recursos que você define em seu modelo do Terraform.