Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower - AWS Control Tower
AWS ControlTowerAdmin peranAWS ControlTowerServiceRolePolicyAWS ControlTowerIdentityCenterManagementPolicyAWS ControlTowerStackSetRoleAWS ControlTowerCloudTrailRolePolicyAWS ControlTowerBlueprintAccess persyaratan peranAWSServiceRoleForAWSControlMenaraAWS ControlTowerAccountServiceRolePolicy

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower

Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi pada sumber daya AWS Control Tower.

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda.

AWS ControlTowerAdmin peran

Peran ini memberi AWS Control Tower akses ke infrastruktur yang penting untuk mempertahankan landing zone. AWS ControlTowerAdminPeran tersebut membutuhkan kebijakan terkelola terlampir dan kebijakan kepercayaan peran untuk peran IAM. Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya, yang menentukan prinsip mana yang dapat mengambil peran tersebut.

Berikut contoh cuplikan untuk kebijakan kepercayaan peran ini:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk membuat peran ini dari AWS CLI, dan memasukkannya ke dalam file bernamatrust.json, berikut adalah contoh perintah CLI:

aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json

Peran ini membutuhkan dua kebijakan IAM.

  1. Kebijakan inline, misalnya:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*"
        }
    ]
}

  2. Kebijakan terkelola yang mengikuti, yaituAWS ControlTowerServiceRolePolicy.

AWS ControlTowerServiceRolePolicy

AWS ControlTowerServiceRolePolicyIni adalah kebijakan AWS terkelola yang mendefinisikan izin untuk membuat dan mengelola sumber daya AWS Control Tower, seperti AWS CloudFormation stackset dan instance tumpukan, file AWS CloudTrail log, agregator konfigurasi untuk AWS Control Tower, AWS Organizations serta akun dan unit organisasi OUs () yang diatur oleh AWS Control Tower.

Pembaruan kebijakan terkelola ini dirangkum dalam tabel,Kebijakan terkelola untuk AWS Control Tower.

Untuk informasi selengkapnya, lihat AWS ControlTowerServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

Kebijakan kepercayaan peran:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Kebijakan inline adalahAWS ControlTowerAdminPolicy:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AWS ControlTowerIdentityCenterManagementPolicy

Kebijakan ini memberikan izin untuk mengonfigurasi sumber daya Pusat Identitas IAM (IDC) di akun anggota yang terdaftar dengan AWS Control Tower. Saat Anda memilih Pusat Identitas IAM sebagai penyedia identitas Anda selama penyiapan (atau pembaruan) landing zone di AWS Control Tower, kebijakan ini dilampirkan ke AWS ControlTowerAdmin peran tersebut.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat AWS ControlTowerIdentityCenterManagementPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS ControlTowerStackSetRole

CloudFormation mengasumsikan peran ini untuk menerapkan set tumpukan di akun yang dibuat oleh AWS Control Tower. Kebijakan Inline:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}

Kebijakan kepercayaan

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerCloudTrailRolePolicy

AWS Control Tower memungkinkan CloudTrail sebagai praktik terbaik dan menyediakan peran ini CloudTrail. CloudTrail mengasumsikan peran ini untuk membuat dan menerbitkan CloudTrail log.

Kebijakan Terkelola: AWS ControlTowerCloudTrailRolePolicy

Peran ini menggunakan kebijakan yang AWS dikelolaAWS ControlTowerCloudTrailRolePolicy, yang memberikan CloudTrail izin yang diperlukan untuk mempublikasikan CloudWatch log audit ke Amazon Logs atas nama AWS Control Tower. Kebijakan terkelola ini menggantikan kebijakan inline yang sebelumnya digunakan untuk peran ini, memungkinkan AWS untuk memperbarui kebijakan tanpa campur tangan pelanggan.

Untuk informasi selengkapnya, lihat AWS ControlTowerCloudTrailRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

Pembaruan kebijakan terkelola ini dirangkum dalam tabel,Kebijakan terkelola untuk AWS Control Tower.

catatan

Sebelum memperkenalkan kebijakan terkelola, peran ini menggunakan kebijakan inline dengan izin yang setara. Kebijakan inline telah digantikan oleh kebijakan terkelola untuk mengaktifkan pembaruan yang mulus.

Kebijakan Inline Sebelumnya (untuk referensi):

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}

Kebijakan kepercayaan

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerBlueprintAccess persyaratan peran

AWS Control Tower mengharuskan Anda untuk membuat AWS ControlTowerBlueprintAccess peran di akun hub cetak biru yang ditentukan, dalam organisasi yang sama.

Nama peran

Nama peran harusAWS ControlTowerBlueprintAccess.

Kebijakan kepercayaan peran

Peran harus diatur untuk mempercayai prinsip-prinsip berikut:

  • Prinsipal yang menggunakan AWS Control Tower di akun manajemen.

  • AWS ControlTowerAdminPeran dalam akun manajemen.

Contoh berikut menunjukkan kebijakan kepercayaan hak istimewa paling rendah. Saat Anda membuat kebijakan sendiri, ganti istilah YourManagementAccountId dengan ID acccount aktual akun manajemen AWS Control Tower Anda, dan ganti istilah tersebut YourControlTowerUserRole dengan pengenal peran IAM untuk akun manajemen Anda.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

Izin peran

Anda diminta untuk melampirkan kebijakan yang dikelola AWSServiceCatalogAdminFullAccesske peran tersebut.

AWSServiceRoleForAWSControlMenara

Peran ini memberi AWS Control Tower akses ke akun Arsip Log, akun Audit, dan akun anggota, untuk operasi yang penting untuk mempertahankan landing zone, seperti memberi tahu Anda tentang sumber daya yang hanyut.

AWS ServiceRoleFor AWS ControlTowerPeran tersebut membutuhkan kebijakan terkelola terlampir dan kebijakan kepercayaan peran untuk peran IAM.

Kebijakan terkelola untuk peran ini: AWS ControlTowerAccountServiceRolePolicy

Kebijakan kepercayaan peran:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerAccountServiceRolePolicy

Kebijakan yang AWS dikelola ini memungkinkan AWS Control Tower memanggil AWS layanan yang menyediakan konfigurasi akun otomatis dan tata kelola terpusat atas nama Anda.

Kebijakan ini berisi izin minimum AWS Control Tower untuk menerapkan penerusan AWS Security Hub CSPM temuan untuk sumber daya yang dikelola oleh kontrol CSPM Security Hub yang merupakan bagian dari Standar yang dikelola Layanan CSPM Security Hub: AWS Control Tower, dan mencegah perubahan yang membatasi kemampuan mengelola akun pelanggan. Ini adalah bagian dari proses deteksi AWS Security Hub CSPM drift latar belakang yang tidak secara langsung diprakarsai oleh pelanggan.

Kebijakan ini memberikan izin untuk membuat EventBridge aturan Amazon, khususnya untuk kontrol CSPM Security Hub, di setiap akun anggota, dan aturan ini harus menentukan persisnya. EventPattern Selain itu, aturan hanya dapat beroperasi berdasarkan aturan yang dikelola oleh prinsipal layanan kami.

Prinsipal layanan: controltower.amazonaws.com

Untuk informasi selengkapnya, lihat AWS ControlTowerAccountServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

Pembaruan kebijakan terkelola ini dirangkum dalam tabel,Kebijakan terkelola untuk AWS Control Tower.