

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Autorisations requises pour utiliser la console AWS Control Tower
<a name="additional-console-required-permissions"></a>

AWS Control Tower crée automatiquement trois rôles lorsque vous configurez une zone de landing zone. Les trois rôles sont obligatoires pour autoriser l'accès à la console. AWS Control Tower divise les autorisations en trois rôles. Il s'agit d'une bonne pratique pour restreindre l'accès aux ensembles minimaux d'actions et de ressources.

**Trois rôles obligatoires pour accéder à la zone d'atterrissage**
+ [AWS ControlTowerAdmin rôle](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)

Nous vous recommandons de restreindre l'accès à vos politiques d'approbation des rôles pour ces rôles. Pour plus d'informations, consultez la section [Conditions facultatives relatives à vos relations de confiance](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).

## Afficher le catalogue de contrôle dans la console
<a name="view-control-catalog-in-console"></a>

Pour consulter les informations de contrôle dans la console AWS Control Tower, vous devez ajouter des `controlcatalog` autorisations supplémentaires à vos politiques IAM. Ces autorisations sont les suivantes :
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`

Voici un exemple illustrant les autorisations mises à jour dans la politique.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Vous devez ajouter ces autorisations car AWS Control Tower appelle le `controlcatalog` APIs pour récupérer certaines métadonnées de contrôle. Les autorisations AWS Control Tower ne sont donc pas suffisantes.

Pour en savoir plus sur la façon de mettre à jour vos autorisations, consultez la section [Créer des rôles et attribuer des autorisations](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html).

Pour plus d'informations sur les actions `controlcatalog` IAM, consultez la section [Actions, ressources et clés de condition pour Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).

**Note**  
Les informations de contrôle sont disponibles via le [catalogue de contrôle APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).