Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower

Dieses Thema enthält Beispiele für identitätsbasierte Richtlinien, die zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) anhängen und dadurch Berechtigungen zur Ausführung von Vorgängen auf AWS Control Tower Tower-Ressourcen gewähren kann.

AWS ControlTowerAdmin Rolle

Diese Rolle bietet AWS Control Tower Zugriff auf die Infrastruktur, die für die Aufrechterhaltung der landing zone von entscheidender Bedeutung ist. Die AWS ControlTowerAdmin Rolle erfordert eine angehängte verwaltete Richtlinie und eine Rollenvertrauensrichtlinie für die IAM-Rolle. Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie, die festlegt, welche Prinzipale die Rolle übernehmen können.

Hier ist ein Beispielausschnitt für diese Rollenvertrauensrichtlinie:

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Um diese Rolle über die AWS CLI zu erstellen und sie in eine Datei mit dem Namen abzulegentrust.json, finden Sie hier ein Beispiel für einen CLI-Befehl:

aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json

Für diese Rolle sind zwei IAM-Richtlinien erforderlich.

AWS ControlTowerServiceRolePolicy

Dabei AWS ControlTowerServiceRolePolicyhandelt es sich um eine AWS verwaltete Richtlinie, die Berechtigungen zur Erstellung und Verwaltung von AWS Control Tower-Ressourcen wie AWS CloudFormation Stacksets und Stack-Instances, AWS CloudTrail Protokolldateien, einem Konfigurationsaggregator für AWS Control Tower sowie AWS Organizations Konten und Organisationseinheiten (OUs) definiert, die von AWS Control Tower verwaltet werden.

Aktualisierungen dieser verwalteten Richtlinie sind in der Tabelle zusammengefasst. Verwaltete Richtlinien für AWS Control Tower

Weitere Informationen finden Sie AWS ControlTowerServiceRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

Vertrauensrichtlinie für Rollen:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}    

Die Online-Richtlinie lautetAWS ControlTowerAdminPolicy:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AWS ControlTowerIdentityCenterManagementPolicy

Diese Richtlinie gewährt Berechtigungen zur Konfiguration der IAM Identity Center (IdC) -Ressourcen in den Mitgliedskonten, die bei AWS Control Tower registriert sind. Wenn Sie bei der Einrichtung (oder Aktualisierung) der landing zone in AWS Control Tower IAM Identity Center als Ihren Identitätsanbieter auswählen, wird diese Richtlinie an die AWS ControlTowerAdmin Rolle angehängt.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter AWS ControlTowerIdentityCenterManagementPolicy im AWS Referenzhandbuch für verwaltete Richtlinien.

AWS ControlTowerStackSetRole

CloudFormation übernimmt diese Rolle, um Stack-Sets in Konten bereitzustellen, die von AWS Control Tower erstellt wurden. Inlinerichtlinie:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}

Vertrauensrichtlinie

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerCloudTrailRolePolicy

AWS Control Tower ermöglicht dies CloudTrail als bewährte Methode und bietet diese Rolle für CloudTrail. CloudTrail übernimmt diese Rolle bei der Erstellung und Veröffentlichung von CloudTrail Protokollen.

Verwaltete Richtlinie: AWS ControlTowerCloudTrailRolePolicy

Diese Rolle verwendet die AWS-managed PolicyAWS ControlTowerCloudTrailRolePolicy, die die erforderlichen Berechtigungen erteilt CloudTrail , um Audit-Logs im Namen von AWS Control Tower in Amazon CloudWatch Logs zu veröffentlichen. Diese verwaltete Richtlinie ersetzt die Inline-Richtlinie, die zuvor für diese Rolle verwendet wurde, sodass AWS die Richtlinie ohne Kundeneingriff aktualisiert werden kann.

Weitere Informationen finden Sie AWS ControlTowerCloudTrailRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

Aktualisierungen dieser verwalteten Richtlinie sind in der Tabelle, zusammengefasstVerwaltete Richtlinien für AWS Control Tower.

Frühere Inline-Richtlinie (als Referenz):

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}

Vertrauensrichtlinie

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerBlueprintAccess Anforderungen an die Rollen

Bei AWS Control Tower müssen Sie die AWS ControlTowerBlueprintAccess Rolle im angegebenen Blueprint-Hub-Konto innerhalb derselben Organisation erstellen.

Name der Rolle

Der Rollenname muss lauten. AWS ControlTowerBlueprintAccess

Vertrauensrichtlinie für Rollen

Die Rolle muss so eingerichtet sein, dass sie den folgenden Prinzipalen vertraut:

Das folgende Beispiel zeigt eine Vertrauensrichtlinie mit den geringsten Rechten. Wenn Sie Ihre eigene Richtlinie erstellen, ersetzen Sie den Begriff YourManagementAccountId durch die tatsächliche Konto-ID Ihres AWS Control Tower Tower-Verwaltungskontos und ersetzen Sie den Begriff YourControlTowerUserRole durch die ID der IAM-Rolle für Ihr Verwaltungskonto.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

Rollenberechtigungen

Sie müssen die verwaltete Richtlinie AWSServiceCatalogAdminFullAccessan die Rolle anhängen.

AWSServiceRoleForAWSControlTurm

Diese Rolle gewährt AWS Control Tower Zugriff auf das Log Archive-Konto, das Audit-Konto und die Mitgliedskonten für Operationen, die für die Aufrechterhaltung der landing zone wichtig sind, wie z. B. die Benachrichtigung über verschwendete Ressourcen.

Die AWS ServiceRoleFor AWS ControlTower Rolle erfordert eine angehängte verwaltete Richtlinie und eine Rollenvertrauensrichtlinie für die IAM-Rolle.

Verwaltete Richtlinie für diese Rolle: AWS ControlTowerAccountServiceRolePolicy

Vertrauensrichtlinie für Rollen:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerAccountServiceRolePolicy

Diese AWS verwaltete Richtlinie ermöglicht es AWS Control Tower, in Ihrem Namen AWS Services aufzurufen, die eine automatisierte Kontokonfiguration und zentrale Verwaltung bieten.

Die Richtlinie enthält die Mindestberechtigungen für AWS Control Tower zur Implementierung der Weiterleitung von AWS Security Hub CSPM Erkenntnissen für Ressourcen, die von Security Hub CSPM-Kontrollen verwaltet werden, die Teil des Security Hub CSPM Service-Managed Standard: AWS Control Tower sind, und verhindert Änderungen, die die Verwaltung von Kundenkonten einschränken. Sie ist Teil des Prozesses zur Erkennung von AWS Security Hub CSPM Hintergrundabweichungen, der nicht direkt von einem Kunden initiiert wird.

Die Richtlinie gewährt die Erlaubnis, EventBridge Amazon-Regeln, speziell für Security Hub CSPM-Steuerungen, für jedes Mitgliedskonto zu erstellen, und diese Regeln müssen eine genaue Angabe enthalten. EventPattern Außerdem kann eine Regel nur auf Regeln angewendet werden, die von unserem Service Principal verwaltet werden.

Dienstleiter: controltower.amazonaws.com

Weitere Informationen finden Sie AWS ControlTowerAccountServiceRolePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

Aktualisierungen dieser verwalteten Richtlinie sind in der Tabelle, zusammengefasstVerwaltete Richtlinien für AWS Control Tower.