Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Rôles obligatoires En général, les rôles et les politiques font partie de la gestion des identités et des accès (IAM) dans AWS. Reportez-vous au [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html) pour plus d'informations. AFT crée plusieurs rôles et politiques IAM dans les comptes de gestion AFT et de gestion AWS Control Tower afin de soutenir les opérations du pipeline AFT. Ces rôles sont créés sur la base du modèle d'accès avec le moindre privilège, qui limite les autorisations aux ensembles d'actions et de ressources minimalement requis pour chaque rôle et chaque politique. Ces rôles et politiques se voient attribuer une `key:value` paire de AWS balises, comme ` managed_by:AFT` pour l'identification. Outre ces rôles IAM, l'AFT crée trois rôles essentiels : + le `AWSAFTAdmin` rôle + le `AWSAFTExecution` rôle + le `AWSAFTService` rôle Ces rôles sont expliqués dans les sections suivantes. **Le AWSAFTAdmin rôle, expliqué** Lorsque vous déployez AFT, le `AWSAFTAdmin` rôle est créé dans le compte de gestion AFT. Ce rôle permet au pipeline AFT d'assumer le `AWSAFTExecution` rôle dans les comptes provisionnés par AWS Control Tower et AFT, afin d'effectuer des actions liées au provisionnement et à la personnalisation des comptes. Voici la politique intégrée (artefact JSON) attachée au `AWSAFTAdmin` rôle : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ L'artefact JSON suivant montre la relation de confiance associée au `AWSAFTAdmin` rôle. Le numéro d'espace réservé `012345678901` est remplacé par le numéro d'identification du compte de gestion AFT. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Le AWSAFTExecution rôle, expliqué** Lorsque vous déployez AFT, le `AWSAFTExecution` rôle est créé dans les comptes de gestion AFT et de gestion AWS Control Tower. Plus tard, le pipeline AFT crée le `AWSAFTExecution` rôle dans chaque compte provisionné AFT pendant la phase de provisionnement du compte AFT. AFT utilise le `AWSControlTowerExecution` rôle dans un premier temps, pour le `AWSAFTExecution` créer dans des comptes spécifiés. Le `AWSAFTExecution` rôle permet au pipeline AFT d'exécuter les étapes effectuées lors des étapes de provisionnement et de personnalisation du provisionnement du framework AFT, pour les comptes provisionnés AFT et pour les comptes partagés. **Des rôles distincts vous aident à limiter la portée** Il est recommandé de séparer les autorisations de personnalisation de celles autorisées lors du déploiement initial des ressources. N'oubliez pas que le `AWSAFTService` rôle est destiné au provisionnement du compte et qu'il est destiné à la `AWSAFTExecution` personnalisation du compte. Cette séparation limite l'étendue des autorisations autorisées au cours de chaque phase du pipeline. Cette distinction est particulièrement importante si vous personnalisez les comptes partagés AWS Control Tower, car ceux-ci peuvent contenir des informations sensibles, telles que des informations de facturation ou des informations utilisateur. Autorisations pour `AWSAFTExecution` le rôle : **AdministratorAccess**— une politique gérée par AWS L'artefact JSON suivant montre la politique IAM (relation de confiance) attachée au `AWSAFTExecution` rôle. Le numéro d'espace réservé `012345678901` est remplacé par le numéro d'identification du compte de gestion AFT. Politique de confiance pour `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Le AWSAFTService rôle, expliqué** Le `AWSAFTService` rôle déploie les ressources AFT dans tous les comptes inscrits et gérés, y compris les comptes partagés et le compte de gestion. Auparavant, les ressources étaient déployées uniquement par le `AWSAFTExecution` rôle. Le `AWSAFTService` rôle est destiné à être utilisé par l'infrastructure de service pour déployer des ressources pendant la phase de provisionnement, et le `AWSAFTExecution` rôle est destiné à être utilisé uniquement pour déployer des personnalisations. En assumant les rôles de cette manière, vous pouvez maintenir un contrôle d'accès plus précis à chaque étape. Autorisations pour `AWSAFTService` le rôle : **AdministratorAccess**— une politique gérée par AWS L'artefact JSON suivant montre la politique IAM (relation de confiance) attachée au `AWSAFTService` rôle. Le numéro d'espace réservé `012345678901` est remplacé par le numéro d'identification du compte de gestion AFT. Politique de confiance pour `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------