所需角色和权限

AWS Control Tower 利用 IAM 角色来帮助管理对资源的访问权限。

有关角色的一般信息，请参阅用户组、角色和权限集。

关于权限

• 有关 IAM 组及其在 AWS Control Tower 中的权限的信息，请参阅 IAM Identity Center groups for AWS Control Tower。

• 有关预置账户所需权限的信息，请参阅 Permissions required for accounts。

• 有关 AWS Control Tower 所需控制台权限的信息，请参阅 Permissions required to use the AWS Control Tower console。

关于角色

• 有关如何创建角色的信息，包括专为编程访问而设计的权限，请参阅 Create roles and assign permissions 和 Programmatic roles and trust relationships for the AWS Control Tower audit account。

• 有关 AWS Control Tower 用于管理您的账户的其他角色的信息，请参阅 Using identity-based policies (IAM policies) for AWS Control Tower 和 Managed policies for AWS Control Tower。

• 有关 AWS Control Tower 和 AWS Config 角色的信息，请参阅 AWS Control Tower ConfigRecorderRole。

• 有关 AWS Control Tower 用来汇总账户信息的角色 AWS Config 的信息，请参阅 AWS Control Tower 如何聚合非托管账户 OUs 和账户中的 AWS Config 规则。

• 有关如何在分配角色和权限时保护资源的信息，请参阅角色信任关系的可选条件、可选配置 AWS KMS 密钥和防止跨服务模仿。

• 有关使用 IAM 角色在 AWS Control Tower 中自动预置账户的具体信息，请参阅 Automated Account Provisioning with IAM Roles。

• 要查看保护 AWS Config SNS 主题的策略，请参阅 AWS Config SNS 主题策略。