Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower
Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources de l'AWS Control Tower.
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès aux ressources de votre AWS Control Tower. Pour de plus amples informations, veuillez consulter [Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower](access-control-overview.md).
# Autorisations requises pour utiliser la console AWS Control Tower
AWS Control Tower crée automatiquement trois rôles lorsque vous configurez une zone de landing zone. Les trois rôles sont obligatoires pour autoriser l'accès à la console. AWS Control Tower divise les autorisations en trois rôles. Il s'agit d'une bonne pratique pour restreindre l'accès aux ensembles minimaux d'actions et de ressources.
**Trois rôles obligatoires pour accéder à la zone d'atterrissage**
+ [AWS ControlTowerAdmin rôle](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
Nous vous recommandons de restreindre l'accès à vos politiques d'approbation des rôles pour ces rôles. Pour plus d'informations, consultez la section [Conditions facultatives relatives à vos relations de confiance](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).
## Afficher le catalogue de contrôle dans la console
Pour consulter les informations de contrôle dans la console AWS Control Tower, vous devez ajouter des `controlcatalog` autorisations supplémentaires à vos politiques IAM. Ces autorisations sont les suivantes :
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
Voici un exemple illustrant les autorisations mises à jour dans la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Vous devez ajouter ces autorisations car AWS Control Tower appelle le `controlcatalog` APIs pour récupérer certaines métadonnées de contrôle. Les autorisations AWS Control Tower ne sont donc pas suffisantes.
Pour en savoir plus sur la façon de mettre à jour vos autorisations, consultez la section [Créer des rôles et attribuer des autorisations](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html).
Pour plus d'informations sur les actions `controlcatalog` IAM, consultez la section [Actions, ressources et clés de condition pour Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).
**Note**
Les informations de contrôle sont disponibles via le [catalogue de contrôle APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).
## AWS ControlTowerAdmin rôle
Ce rôle permet à AWS Control Tower d'accéder à l'infrastructure essentielle au maintien de la zone d'atterrissage. Le `AWS ControlTowerAdmin` rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM. Une *politique de confiance dans les rôles* est une politique basée sur les ressources, qui spécifie quels principaux peuvent assumer le rôle.
Voici un exemple d'extrait de cette politique de confiance des rôles :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour créer ce rôle à partir de la AWS CLI et le placer dans un fichier appelé`trust.json`, voici un exemple de commande CLI :
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
Ce rôle nécessite deux politiques IAM.
1. Une politique intégrée, par exemple :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. La politique gérée qui suit, qui est la`AWS ControlTowerServiceRolePolicy`.
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy**Il s'agit d'une politique AWS gérée qui définit les autorisations permettant de créer et de gérer les ressources de la tour de contrôle AWS, telles que les AWS CloudFormation stacksets et les instances de pile, les fichiers AWS CloudTrail journaux, un agrégateur de configuration pour AWS Control Tower, ainsi que les AWS Organizations comptes et les unités organisationnelles (OUs) régis par AWS Control Tower.
Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).
Pour plus d'informations, consultez [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Politique de confiance dans les rôles :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La politique en ligne est `AWS ControlTowerAdminPolicy` la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
Cette politique fournit des autorisations pour configurer les ressources IAM Identity Center (iDC) dans les comptes des membres inscrits auprès d'AWS Control Tower. Lorsque vous sélectionnez IAM Identity Center comme fournisseur d'identité lors de la configuration (ou de la mise à jour) de la zone d'atterrissage dans AWS Control Tower, cette politique est associée au `AWS ControlTowerAdmin` rôle.
Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.
## AWS ControlTowerStackSetRole
CloudFormation assume ce rôle pour déployer des ensembles de piles dans les comptes créés par AWS Control Tower. Stratégie en ligne :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**Politique d’approbation**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower l'autorise CloudTrail en tant que bonne pratique et fournit ce rôle à CloudTrail. CloudTrail assume ce rôle pour créer et publier CloudTrail des journaux.
**Politique gérée :** `AWS ControlTowerCloudTrailRolePolicy`
Ce rôle utilise la politique AWS-managed`AWS ControlTowerCloudTrailRolePolicy`, qui accorde CloudTrail les autorisations nécessaires pour publier des journaux d'audit sur Amazon CloudWatch Logs au nom d'AWS Control Tower. Cette politique gérée remplace la politique en ligne qui était précédemment utilisée pour ce rôle, ce qui permet de mettre AWS à jour la politique sans intervention du client.
Pour plus d'informations, consultez [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).
**Note**
Avant l'introduction de la politique gérée, ce rôle utilisait une politique en ligne avec des autorisations équivalentes. La politique intégrée a été remplacée par la politique gérée pour permettre des mises à jour fluides.
**Politique en ligne précédente (pour référence) :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**Politique d’approbation**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess exigences relatives aux rôles
AWS Control Tower vous demande de créer le `AWS ControlTowerBlueprintAccess` rôle dans le compte Blueprint Hub désigné, au sein de la même organisation.
**Nom de rôle**
Le nom du rôle doit être`AWS ControlTowerBlueprintAccess`.
**Politique de confiance dans les rôles**
Le rôle doit être configuré de manière à faire confiance aux principes suivants :
+ Le principal qui utilise AWS Control Tower dans le compte de gestion.
+ Le `AWS ControlTowerAdmin` rôle dans le compte de gestion.
L'exemple suivant illustre une politique de confiance fondée sur le principe du moindre privilège. Lorsque vous établissez votre propre politique, remplacez le terme *YourManagementAccountId* par l'identifiant de compte réel de votre compte de gestion AWS Control Tower, et remplacez le terme *YourControlTowerUserRole* par l'identifiant du rôle IAM pour votre compte de gestion.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**Autorisations relatives aux rôles**
Vous devez associer la politique gérée **AWSServiceCatalogAdminFullAccess**au rôle.
## AWSServiceRoleForAWSControlTour
Ce rôle permet à AWS Control Tower d'accéder au compte Log Archive, au compte d'audit et aux comptes des membres, pour les opérations essentielles au maintien de la zone de landing zone, telles que la notification des ressources dérivées.
Le `AWS ServiceRoleFor AWS ControlTower` rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM.
**Politique gérée pour ce rôle :** `AWS ControlTowerAccountServiceRolePolicy`
Politique de confiance dans les rôles :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
Cette politique AWS gérée permet à AWS Control Tower d'appeler AWS des services qui fournissent une configuration de compte automatisée et une gouvernance centralisée en votre nom.
La politique contient les autorisations minimales permettant à AWS Control Tower de mettre en œuvre le transfert des AWS Security Hub CSPM résultats pour les ressources gérées par les contrôles Security Hub CSPM qui font partie de la norme de gestion des **services Security Hub CSPM : AWS Control Tower**, et elle empêche les modifications qui limitent la capacité à gérer les comptes clients. Cela fait partie du processus de détection de la AWS Security Hub CSPM dérive de fond qui n'est pas directement initié par le client.
La politique donne l'autorisation de créer des EventBridge règles Amazon, en particulier pour les contrôles CSPM de Security Hub, dans chaque compte membre, et ces règles doivent en spécifier une exacte. EventPattern De plus, une règle ne peut fonctionner que sur des règles gérées par notre directeur de service.
**Directeur du service :** `controltower.amazonaws.com`
Pour plus d'informations, consultez [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).
# Politiques gérées pour AWS Control Tower
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez [ Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l'utilisateur IAM*.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – Mise à jour d’une stratégie existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower d'appeler l'API de AWS CloudFormation service afin `BatchDescribeTypeConfigurations` d'améliorer en interne les hooks liés aux services. | 23 mars 2026 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) : mise à jour d’une politique existante | AWS Control Tower a mis à jour une politique existante afin d'améliorer la précision de validation des conditions des EventBridge règles Amazon. La mise à jour déplace la `events:detail-type` condition de `StringEquals` à `ForAllValues:StringEquals` pour un meilleur contrôle de la correspondance entre les modèles d'événements tout en conservant les mêmes autorisations fonctionnelles. | 30 décembre 2025 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) : mise à jour d’une politique existante | AWS Control Tower a ajouté une nouvelle politique qui étend les autorisations suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/controltower/latest/userguide/managed-policies-table.html) | 10 novembre 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Politique gérée mise à jour | AWS Control Tower a mis à jour le modèle de ressources Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy pour prendre en charge l' AWS CloudTrail intégration optionnelle de Landing Zone 4.0. Le schéma est passé de `aws-controltower/CloudTrailLogs:*` à`aws-controltower/CloudTrailLogs*:*`, en ajoutant ensuite un caractère générique `CloudTrailLogs` pour permettre la gestion des groupes de journaux avec n'importe quel suffixe. Cette mise à jour permet l' AWS CloudTrail intégration optionnelle de Landing Zone 4.0, qui permet aux clients d'activer et de désactiver AWS CloudTrail l'intégration à plusieurs reprises. Chaque fois que l'intégration est activée, les groupes de CloudWatch journaux Amazon Logs sont recréés avec des suffixes uniques afin d'éviter les conflits de dénomination. La mise à jour est rétrocompatible avec les déploiements existants. | 31 octobre 2025 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)— Nouvelle politique gérée | AWS Control Tower a introduit la politique AWS ControlTowerCloudTrailRolePolicy gérée, qui permet de CloudTrail créer des flux de journaux et de publier des événements de journal dans les groupes de journaux CloudWatch Amazon Logs gérés par Control Tower. Cette politique gérée remplace la politique en ligne précédemment utilisée par le AWS ControlTowerCloudTrailRole, ce qui permet de mettre AWS à jour la politique sans intervention du client. La politique s'applique aux groupes de journaux dont les noms correspondent au modèle. `aws-controltower/CloudTrailLogs*` | 31 octobre 2025 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy)— Une nouvelle politique | AWS Control Tower a ajouté une nouvelle politique qui permet aux clients de configurer les ressources IAM Identity Center dans les comptes inscrits dans AWS Control Tower, et qui permet à AWS Control Tower de remédier à certains types de dérive lors de l'inscription automatique des comptes. Cette modification est nécessaire pour que les clients puissent configurer IAM Identity Center dans AWS Control Tower et pour qu'AWS Control Tower puisse remédier à la dérive des inscriptions automatiques. | 10 octobre 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles CloudFormation autorisations qui permettent à AWS Control Tower d'interroger et de déployer des ressources de type stack dans les comptes membres lors de l'inscription automatique des comptes dans AWS Control Tower. | 10 octobre 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'activer et de désactiver les règles liées aux services AWS Config . Cette modification est nécessaire pour que les clients puissent gérer les contrôles déployés par les règles Config. | 5 juin 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower de passer des appels au AWS CloudFormation service APIs `ActivateType` `DeactivateType``SetTypeConfiguration`, et ainsi de suite`AWS::ControlTower types`. Cette modification permet aux clients de mettre en place des contrôles proactifs sans avoir à déployer de types de CloudFormation Hook privés. | 10 décembre 2024 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy)— Une nouvelle politique | AWS Control Tower a ajouté un nouveau rôle lié à un service qui permet à AWS Control Tower de créer et de gérer des règles relatives aux événements et, sur la base de ces règles, de gérer la détection des dérives pour les contrôles liés au Security Hub CSPM. Cette modification est nécessaire pour que les clients puissent visualiser les ressources dérivées dans la console, lorsque ces ressources sont liées aux contrôles Security Hub CSPM qui font partie de la norme gérée par les **services Security Hub CSPM :** AWS Control Tower. | 22 mai 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower de passer des appels vers le service de gestion des comptes `EnableRegion``ListRegions`, et `GetRegionOptStatus` APIs mises en œuvre par le service de gestion des AWS comptes, afin de rendre l'opt-in Régions AWS disponible pour les comptes clients de la zone d'atterrissage (compte de gestion, compte d'archive des journaux, compte d'audit, comptes membres de l'unité d'organisation). Ce changement est nécessaire pour que les clients puissent avoir la possibilité d'étendre la gouvernance des régions par AWS Control Tower aux régions optionnelles. | 6 avril 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower d'assumer le `AWSControlTowerBlueprintAccess` rôle dans le compte Blueprint (hub), qui est un compte dédié au sein d'une organisation, contenant des plans prédéfinis stockés dans un ou plusieurs produits Service Catalog. AWS Control Tower assume le `AWSControlTowerBlueprintAccess` rôle d'effectuer trois tâches : créer un portefeuille de services Catalog, ajouter le produit Blueprint demandé et partager le portefeuille sur le compte membre demandé au moment de la mise en service du compte. Cette modification est nécessaire pour que les clients puissent créer des comptes personnalisés via AWS Control Tower Account Factory. | 28 octobre 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients de configurer des AWS CloudTrail parcours au niveau de l'organisation, à partir de la version 3.0 de la landing zone. La CloudTrail fonctionnalité basée sur l'organisation exige que les clients aient activé l'accès sécurisé pour le CloudTrail service, et que l'utilisateur ou le rôle IAM soit autorisé à créer un suivi au niveau de l'organisation dans le compte de gestion. | 20 juin 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) : mise à jour d’une politique existante | AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'utiliser le chiffrement par clé KMS. La fonctionnalité KMS permet aux clients de fournir leur propre clé KMS pour chiffrer leurs CloudTrail journaux. Les clients peuvent également modifier la clé KMS lors de la mise à jour ou de la réparation de la zone d'atterrissage. Lors de la mise à jour de la clé KMS, AWS CloudFormation nécessite des autorisations pour appeler l' AWS CloudTrail `PutEventSelector`API. La modification apportée à la politique consiste à autoriser le **AWS ControlTowerAdmin**rôle à appeler l' AWS CloudTrail `PutEventSelector`API. | 28 juillet 2021 |
| AWS Control Tower a commencé à suivre les modifications | AWS Control Tower a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 27 mai 2021 |