本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1. 建立必要的角色
開始自訂帳戶之前,您必須設定包含 AWS Control Tower 與中樞帳戶之間信任關係的角色。擔任 時,該角色會授予 AWS Control Tower 管理中樞帳戶中資源的存取權。角色必須命名為 AWSControlTowerBlueprintAccess。
AWS Control Tower 會擔任此角色來代表您建立產品組合資源 AWS Service Catalog,然後將您的藍圖做為服務目錄產品新增至此產品組合,然後在帳戶佈建期間與成員帳戶共用此產品組合和藍圖。
您將建立AWSControlTowerBlueprintAccess角色,如以下各節所述。您可以在已註冊或未註冊帳戶中設定角色。
導覽至 IAM 主控台以設定所需的角色。
在已註冊的 AWS Control Tower 帳戶中設定 AWSControlTowerBlueprintAccess 角色
-
聯合或以 AWS Control Tower 管理帳戶中的委託人身分登入。
-
從管理帳戶中的聯合委託人,擔任或切換角色到您選擇做為藍圖中樞帳戶的已註冊 AWS Control Tower 帳戶中
AWSControlTowerExecution的角色。 -
從已註冊 AWS Control Tower 帳戶中
AWSControlTowerExecution的角色,建立具有適當許可和信任關係AWSControlTowerBlueprintAccess的角色。
重要
為了遵循 AWS 最佳實務指引,請務必在建立AWSControlTowerExecution角色後立即登出AWSControlTowerBlueprintAccess角色。
為避免意外變更資源,此AWSControlTowerExecution角色僅供 AWS Control Tower 使用。
如果您的藍圖中樞帳戶未註冊 AWS Control Tower,則該AWSControlTowerExecution角色將不會存在於帳戶中,而且在您繼續設定角色之前,不需要擔任該AWSControlTowerBlueprintAccess角色。
在未註冊的成員帳戶中設定 AWSControlTowerBlueprintAccess 角色
-
透過您偏好的方法,聯合或登入為您想要指定為中樞帳戶之帳戶中的委託人。
-
以帳戶中的委託人身分登入時,請建立具有適當許可和信任關係
AWSControlTowerBlueprintAccess的角色。
必須設定 AWSControlTowerBlueprintAccess 角色,才能將信任授予兩個委託人:
-
在 AWS Control Tower 管理帳戶中執行 AWS Control Tower 的委託人 (使用者)。
-
AWS Control Tower 管理帳戶中名為
AWSControlTowerAdmin的角色。
以下是信任政策範例,類似於您需要為角色包含的政策。此政策示範授予最低權限存取權的最佳實務。當您制定自己的政策時,請將該術語取代YourManagementAccountId為您 AWS Control Tower 管理帳戶的實際帳戶 ID,並將該術語取代為您管理帳戶的 IAM 角色YourControlTowerUserRole識別符。
必要的許可政策
AWS Control Tower 要求名為 的受管政策AWSServiceCatalogAdminFullAccess必須連接到AWSControlTowerBlueprintAccess角色。此政策提供在允許 AWS Control Tower 管理您的產品組合和 AWS Service Catalog 產品資源時 AWS Service Catalog 尋找 的許可。您可以在 IAM 主控台中建立角色時連接此政策。
可能需要其他許可
如果您在 Amazon S3 中存放藍圖,AWS Control Tower 也需要該
AWSControlTowerBlueprintAccess角色的AmazonS3ReadOnlyAccess許可政策。如果您不使用預設的管理員政策, AWS Service Catalog Terraform 產品類型會要求您將一些額外的許可新增至 AFC 自訂 IAM 政策。除了建立您在 terraform 範本中定義的資源所需的許可之外,還需要這些許可。
