Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Paso 1. Creación del rol necesario Antes de empezar a personalizar las cuentas, debe configurar un rol que contenga una relación de confianza entre AWS Control Tower y la cuenta central. Cuando se asume, el rol otorga acceso a AWS Control Tower para administrar los recursos en la cuenta central. El rol debe tener un nombre **AWSControlTowerBlueprintAccess**. AWS Control Tower asume esta función para crear un recurso de cartera en su nombre y, a continuación AWS Service Catalog, añadir su plan como producto de Service Catalog a esta cartera y, a continuación, compartir esta cartera y su plan con su cuenta de miembro durante el aprovisionamiento de la cuenta. Deberá crear el rol `AWSControlTowerBlueprintAccess`, como se explica en las siguientes secciones. Puede configurar el rol en una cuenta inscrita o no inscrita. **Vaya a la consola de IAM para configurar el rol necesario.** **Para configurar el AWSControl TowerBlueprintAccess rol en una cuenta de AWS Control Tower inscrita** 1. Federe o inicie sesión como entidad principal en la cuenta de administración de AWS Control Tower. 1. Desde la entidad principal federada de la cuenta de administración, asuma o cambie los roles al rol `AWSControlTowerExecution` de la cuenta inscrita de AWS Control Tower que seleccione para que sirva como cuenta central de esquema. 1. Desde el rol `AWSControlTowerExecution` de la cuenta inscrita de AWS Control Tower, cree el rol `AWSControlTowerBlueprintAccess` con los permisos y las relaciones de confianza adecuados. **importante** Para cumplir con la guía de prácticas AWS recomendadas, es importante que cierre sesión en el `AWSControlTowerExecution` puesto inmediatamente después de `AWSControlTowerBlueprintAccess` crearlo. Para evitar cambios involuntarios en los recursos, el rol `AWSControlTowerExecution` es para uso exclusivo de AWS Control Tower. Si la cuenta central de esquema no está inscrita en AWS Control Tower, el rol `AWSControlTowerExecution` no existirá en la cuenta y no será necesario asumirlo antes de continuar con la configuración del rol `AWSControlTowerBlueprintAccess`. **Para configurar el AWSControl TowerBlueprintAccess rol en una cuenta de miembro no inscrita** 1. Federe o inicie sesión como entidad principal en la cuenta que desee designar como cuenta central mediante el método que prefiera. 1. Cuando haya iniciado sesión como entidad principal en la cuenta, cree el rol `AWSControlTowerBlueprintAccess` con los permisos y las relaciones de confianza adecuados. El **AWSControlTowerBlueprintAccess**rol debe configurarse de manera que otorgue confianza a dos directores: + La entidad principal (usuario) que ejecuta AWS Control Tower en la cuenta de administración de AWS Control Tower. + El rol denominado `AWSControlTowerAdmin` de la cuenta de administración de AWS Control Tower. A continuación, se muestra un ejemplo de política de confianza, similar a la que tendrá que incluir para su rol. Esta política constituye una práctica recomendada para otorgar el acceso a los privilegios mínimos. Cuando cree su propia política, sustituya el término {{YourManagementAccountId}} por el ID real de la cuenta de administración de AWS Control Tower y sustituya el término {{YourControlTowerUserRole}} por el identificador del rol de IAM de la cuenta de administración. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **Política de permisos necesaria** AWS Control Tower requiere que la política administrada denominada `AWSServiceCatalogAdminFullAccess` esté asociada al rol `AWSControlTowerBlueprintAccess`. Esta política proporciona los permisos que AWS Service Catalog busca cuándo permite a AWS Control Tower administrar su cartera y los recursos de sus AWS Service Catalog productos. Puede asociar esta política al crear el rol en la consola de IAM. **Pueden ser necesarios permisos adicionales** Si almacena los esquemas en Amazon S3, AWS Control Tower también requiere la política de permisos `AmazonS3ReadOnlyAccess` para el rol `AWSControlTowerBlueprintAccess`. **El tipo de producto AWS Service Catalog Terraform requiere que añada algunos permisos adicionales a la política de IAM personalizada de AFC si no utiliza la política de administración predeterminada.** Requiere estos permisos además de los necesarios para crear los recursos que defina en la plantilla de Terraform.