Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Étape 1. Créez le rôle requis Avant de commencer à personnaliser les comptes, vous devez configurer un rôle contenant une relation de confiance entre AWS Control Tower et votre compte hub. Lorsqu'il est assumé, le rôle accorde à AWS Control Tower l'accès pour administrer les ressources du compte du hub. Le rôle doit être nommé **AWSControlTowerBlueprintAccess**. AWS Control Tower assume ce rôle pour créer une ressource de portefeuille en votre nom AWS Service Catalog, puis pour ajouter votre plan en tant que produit Service Catalog à ce portefeuille, puis pour partager ce portefeuille, ainsi que votre plan, avec votre compte membre lors de la mise en service du compte. Vous allez créer le `AWSControlTowerBlueprintAccess` rôle, comme expliqué dans les sections suivantes. Vous pouvez configurer le rôle dans un compte inscrit ou non inscrit. **Accédez à la console IAM pour configurer le rôle requis.** **Pour configurer le AWSControl TowerBlueprintAccess rôle dans un compte AWS Control Tower inscrit** 1. Fédérez ou connectez-vous en tant que principal dans le compte de gestion AWS Control Tower. 1. Depuis le principal fédéré du compte de gestion, assumez ou changez de rôle pour accéder au `AWSControlTowerExecution` rôle du compte AWS Control Tower inscrit que vous avez sélectionné pour servir de compte Blueprint Hub. 1. À partir du `AWSControlTowerExecution` rôle figurant dans le compte AWS Control Tower inscrit, créez le `AWSControlTowerBlueprintAccess` rôle avec les autorisations et les relations de confiance appropriées. **Important** Pour respecter les directives relatives aux AWS meilleures pratiques, il est important que vous vous déconnectiez du `AWSControlTowerExecution` rôle immédiatement après l'`AWSControlTowerBlueprintAccess`avoir créé. Pour éviter toute modification involontaire des ressources, le `AWSControlTowerExecution` rôle est destiné à être utilisé uniquement par AWS Control Tower. Si votre compte Blueprint Hub n'est pas inscrit à AWS Control Tower, le `AWSControlTowerExecution` rôle n'existera pas dans le compte et il n'est pas nécessaire de l'assumer avant de continuer à le `AWSControlTowerBlueprintAccess` configurer. **Pour configurer le AWSControl TowerBlueprintAccess rôle dans un compte de membre non inscrit** 1. Fédérez ou connectez-vous en tant que principal au compte que vous souhaitez désigner comme compte hub, selon la méthode de votre choix. 1. Lorsque vous êtes connecté en tant que principal du compte, créez le `AWSControlTowerBlueprintAccess` rôle avec les autorisations et les relations de confiance appropriées. Le **AWSControlTowerBlueprintAccess**rôle doit être configuré de manière à accorder la confiance à deux principaux : + Le principal (utilisateur) qui exécute AWS Control Tower dans le compte de gestion AWS Control Tower. + Le rôle indiqué `AWSControlTowerAdmin` dans le compte de gestion AWS Control Tower. Voici un exemple de politique de confiance, similaire à celle que vous devrez inclure pour votre rôle. Cette politique illustre la meilleure pratique consistant à accorder un accès avec le moindre privilège. Lorsque vous établissez votre propre politique, remplacez le terme {{YourManagementAccountId}} par l'identifiant de compte réel de votre compte de gestion AWS Control Tower, et remplacez le terme {{YourControlTowerUserRole}} par l'identifiant du rôle IAM pour votre compte de gestion. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **Politique d'autorisations requises** AWS Control Tower exige que la politique gérée nommée `AWSServiceCatalogAdminFullAccess` soit attachée au `AWSControlTowerBlueprintAccess` rôle. Cette politique fournit des autorisations qui AWS Service Catalog déterminent quand elle autorise AWS Control Tower à administrer votre portefeuille et les ressources de vos AWS Service Catalog produits. Vous pouvez associer cette politique lorsque vous créez le rôle dans la console IAM. **Des autorisations supplémentaires peuvent être requises** Si vous stockez vos plans dans Amazon S3, AWS Control Tower a également besoin de la politique `AmazonS3ReadOnlyAccess` d'autorisation associée au `AWSControlTowerBlueprintAccess` rôle. **Le type de produit AWS Service Catalog Terraform vous oblige à ajouter des autorisations supplémentaires à la politique IAM personnalisée de l'AFC, si vous n'utilisez pas la politique d'administration par défaut.** Il les nécessite en plus des autorisations requises pour créer les ressources que vous définissez dans votre modèle Terraform.