Autorisations requises pour utiliser la console AWS Control Tower - AWS Control Tower
Afficher le catalogue de contrôle dans la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour utiliser la console AWS Control Tower

AWS Control Tower crée automatiquement trois rôles lorsque vous configurez une zone de landing zone. Les trois rôles sont obligatoires pour autoriser l'accès à la console. AWS Control Tower divise les autorisations en trois rôles. Il s'agit d'une bonne pratique pour restreindre l'accès aux ensembles minimaux d'actions et de ressources.

Trois rôles obligatoires pour accéder à la zone d'atterrissage

Nous vous recommandons de restreindre l'accès à vos politiques d'approbation des rôles pour ces rôles. Pour plus d'informations, consultez la section Conditions facultatives relatives à vos relations de confiance.

Afficher le catalogue de contrôle dans la console

Pour consulter les informations de contrôle dans la console AWS Control Tower, vous devez ajouter des controlcatalog autorisations supplémentaires à vos politiques IAM. Ces autorisations sont les suivantes :

  • controlcatalog:GetControl

  • controlcatalog:ListControls

  • controlcatalog:ListControlMappings

  • controlcatalog:ListCommonControls

Voici un exemple illustrant les autorisations mises à jour dans la politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Vous devez ajouter ces autorisations car AWS Control Tower appelle le controlcatalog APIs pour récupérer certaines métadonnées de contrôle. Les autorisations AWS Control Tower ne sont donc pas suffisantes.

Pour en savoir plus sur la façon de mettre à jour vos autorisations, consultez la section Créer des rôles et attribuer des autorisations.

Pour plus d'informations sur les actions controlcatalog IAM, consultez la section Actions, ressources et clés de condition pour Control Catalog.

Note

Les informations de contrôle sont disponibles via le catalogue de contrôle APIs.