AWS ControlTowerAdmin rôle AWS ControlTowerServiceRolePolicy AWS ControlTowerIdentityCenterManagementPolicy AWS ControlTowerStackSetRole AWS ControlTowerCloudTrailRolePolicy AWS ControlTowerBlueprintAccess exigences relatives aux rôles AWSServiceRoleForAWSControlTour AWS ControlTowerAccountServiceRolePolicy

Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower

Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources de l'AWS Control Tower.

Important

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès aux ressources de votre AWS Control Tower. Pour de plus amples informations, veuillez consulter Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower.

AWS ControlTowerAdmin rôle

Ce rôle permet à AWS Control Tower d'accéder à l'infrastructure essentielle au maintien de la zone d'atterrissage. Le AWS ControlTowerAdmin rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM. Une politique de confiance dans les rôles est une politique basée sur les ressources, qui spécifie quels principaux peuvent assumer le rôle.

Voici un exemple d'extrait de cette politique de confiance des rôles :

Pour créer ce rôle à partir de la AWS CLI et le placer dans un fichier appelétrust.json, voici un exemple de commande CLI :


aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json

Ce rôle nécessite deux politiques IAM.

Une politique intégrée, par exemple :

La politique gérée qui suit, qui est laAWS ControlTowerServiceRolePolicy.

AWS ControlTowerServiceRolePolicy

AWS ControlTowerServiceRolePolicyIl s'agit d'une politique AWS gérée qui définit les autorisations permettant de créer et de gérer les ressources de la tour de contrôle AWS, telles que les AWS CloudFormation stacksets et les instances de pile, les fichiers AWS CloudTrail journaux, un agrégateur de configuration pour AWS Control Tower, ainsi que les AWS Organizations comptes et les unités organisationnelles (OUs) régis par AWS Control Tower.

Les mises à jour de cette politique gérée sont résumées dans le tableauPolitiques gérées pour AWS Control Tower.

Pour plus d'informations, consultez AWS ControlTowerServiceRolePolicyle Guide de référence des politiques AWS gérées.

Politique de confiance dans les rôles :

La politique en ligne est AWS ControlTowerAdminPolicy la suivante :

AWS ControlTowerIdentityCenterManagementPolicy

Cette politique fournit des autorisations pour configurer les ressources IAM Identity Center (iDC) dans les comptes des membres inscrits auprès d'AWS Control Tower. Lorsque vous sélectionnez IAM Identity Center comme fournisseur d'identité lors de la configuration (ou de la mise à jour) de la zone d'atterrissage dans AWS Control Tower, cette politique est associée au AWS ControlTowerAdmin rôle.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWS ControlTowerIdentityCenterManagementPolicy dans le Guide de référence de la politique gérée par AWS .

AWS ControlTowerStackSetRole

CloudFormation assume ce rôle pour déployer des ensembles de piles dans les comptes créés par AWS Control Tower. Stratégie en ligne :

Politique d’approbation

AWS ControlTowerCloudTrailRolePolicy

AWS Control Tower l'autorise CloudTrail en tant que bonne pratique et fournit ce rôle à CloudTrail. CloudTrail assume ce rôle pour créer et publier CloudTrail des journaux.

Politique gérée : AWS ControlTowerCloudTrailRolePolicy

Ce rôle utilise la politique AWS-managedAWS ControlTowerCloudTrailRolePolicy, qui accorde CloudTrail les autorisations nécessaires pour publier des journaux d'audit sur Amazon CloudWatch Logs au nom d'AWS Control Tower. Cette politique gérée remplace la politique en ligne précédemment utilisée pour ce rôle, ce qui permet de mettre AWS à jour la politique sans intervention du client.

Pour plus d'informations, consultez AWS ControlTowerCloudTrailRolePolicyle Guide de référence des politiques AWS gérées.

Les mises à jour de cette politique gérée sont résumées dans le tableauPolitiques gérées pour AWS Control Tower.

Note

Avant l'introduction de la politique gérée, ce rôle utilisait une politique en ligne avec des autorisations équivalentes. La politique intégrée a été remplacée par la politique gérée pour permettre des mises à jour fluides.

Politique en ligne précédente (pour référence) :

Politique d’approbation

AWS ControlTowerBlueprintAccess exigences relatives aux rôles

AWS Control Tower vous demande de créer le AWS ControlTowerBlueprintAccess rôle dans le compte Blueprint Hub désigné, au sein de la même organisation.

Nom de rôle

Le nom du rôle doit êtreAWS ControlTowerBlueprintAccess.

Politique de confiance dans les rôles

Le rôle doit être configuré de manière à faire confiance aux principes suivants :

Le principal qui utilise AWS Control Tower dans le compte de gestion.
Le AWS ControlTowerAdmin rôle dans le compte de gestion.

L'exemple suivant illustre une politique de confiance fondée sur le principe du moindre privilège. Lorsque vous établissez votre propre politique, remplacez le terme YourManagementAccountId par l'identifiant de compte réel de votre compte de gestion AWS Control Tower, et remplacez le terme YourControlTowerUserRole par l'identifiant du rôle IAM pour votre compte de gestion.

Autorisations relatives aux rôles

Vous devez associer la politique gérée AWSServiceCatalogAdminFullAccessau rôle.

AWSServiceRoleForAWSControlTour

Ce rôle permet à AWS Control Tower d'accéder au compte Log Archive, au compte d'audit et aux comptes des membres, pour les opérations essentielles au maintien de la zone de landing zone, telles que la notification des ressources dérivées.

Le AWS ServiceRoleFor AWS ControlTower rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM.

Politique gérée pour ce rôle : AWS ControlTowerAccountServiceRolePolicy

Politique de confiance dans les rôles :

AWS ControlTowerAccountServiceRolePolicy

Cette politique AWS gérée permet à AWS Control Tower d'appeler AWS des services qui fournissent une configuration de compte automatisée et une gouvernance centralisée en votre nom.

La politique contient les autorisations minimales permettant à AWS Control Tower de mettre en œuvre le transfert des AWS Security Hub CSPM résultats pour les ressources gérées par les contrôles Security Hub CSPM qui font partie de la norme de gestion des services Security Hub CSPM : AWS Control Tower, et elle empêche les modifications qui limitent la capacité à gérer les comptes clients. Cela fait partie du processus de détection de la AWS Security Hub CSPM dérive de fond qui n'est pas directement initié par le client.

La politique donne l'autorisation de créer des EventBridge règles Amazon, en particulier pour les contrôles Security Hub CSPM, dans chaque compte membre, et ces règles doivent en spécifier une exacte. EventPattern De plus, une règle ne peut fonctionner que sur des règles gérées par notre directeur de service.

Service principal : controltower.amazonaws.com

Pour plus d'informations, consultez AWS ControlTowerAccountServiceRolePolicyle Guide de référence des politiques AWS gérées.

Les mises à jour de cette politique gérée sont résumées dans le tableauPolitiques gérées pour AWS Control Tower.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prévenez les attaques confuses des adjoints

Autorisations requises pour utiliser la console AWS Control Tower