Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Peran yang dibutuhkan Secara umum, peran dan kebijakan merupakan bagian dari manajemen identitas dan akses (IAM) di AWS. Lihat [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html) untuk informasi lebih lanjut. AFT membuat beberapa peran dan kebijakan IAM dalam manajemen AFT dan akun manajemen AWS Control Tower untuk mendukung pengoperasian pipeline AFT. Peran ini dibuat berdasarkan model akses hak istimewa terkecil, yang membatasi izin untuk kumpulan tindakan dan sumber daya minimal yang diperlukan untuk setiap peran dan kebijakan. Peran dan kebijakan ini diberikan `key:value` pasangan AWS tag, seperti ` managed_by:AFT` untuk identifikasi. Selain peran IAM ini, AFT menciptakan tiga peran penting: + `AWSAFTAdmin`peran + `AWSAFTExecution`peran + `AWSAFTService`peran Peran ini dijelaskan di bagian berikut. ** AWSAFTAdmin Peran tersebut, dijelaskan** Saat Anda menerapkan AFT, `AWSAFTAdmin` peran dibuat di akun manajemen AFT. Peran ini memungkinkan pipeline AFT untuk mengambil `AWSAFTExecution` peran dalam AWS Control Tower dan akun yang disediakan AFT, sehingga dapat melakukan tindakan yang terkait dengan penyediaan dan penyesuaian akun. Berikut adalah kebijakan inline (artefak JSON) yang dilampirkan pada peran: `AWSAFTAdmin` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ Artefak JSON berikut menunjukkan hubungan kepercayaan untuk peran tersebut. `AWSAFTAdmin` Nomor placeholder diganti dengan nomor `012345678901` ID akun manajemen AFT. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ ** AWSAFTExecution Peran tersebut, dijelaskan** Saat Anda menerapkan AFT, `AWSAFTExecution` peran tersebut dibuat di manajemen AFT dan akun manajemen AWS Control Tower. Kemudian, pipeline AFT menciptakan `AWSAFTExecution` peran di setiap akun yang disediakan AFT selama tahap penyediaan akun AFT. AFT menggunakan `AWSControlTowerExecution` peran awalnya, untuk membuat `AWSAFTExecution` peran dalam akun tertentu. `AWSAFTExecution`Peran ini memungkinkan pipeline AFT untuk menjalankan langkah-langkah yang dilakukan selama tahap penyediaan dan penyediaan kerangka kerja AFT, untuk akun yang disediakan AFT dan untuk akun bersama. **Peran yang berbeda membantu Anda membatasi ruang lingkup** Sebagai praktik terbaik, pisahkan izin kustomisasi dari izin yang diizinkan selama penerapan awal sumber daya Anda. Ingatlah bahwa `AWSAFTService` peran tersebut dimaksudkan untuk penyediaan akun, dan `AWSAFTExecution` peran tersebut ditujukan untuk penyesuaian akun. Pemisahan ini membatasi ruang lingkup izin yang diizinkan selama setiap fase pipa. Perbedaan ini sangat penting jika Anda menyesuaikan akun bersama AWS Control Tower, karena akun bersama mungkin berisi informasi sensitif, seperti detail penagihan atau informasi pengguna. Izin untuk `AWSAFTExecution` peran: **AdministratorAccess**— kebijakan yang dikelola AWS Artefak JSON berikut menunjukkan kebijakan IAM (hubungan kepercayaan) yang melekat pada peran tersebut. `AWSAFTExecution` Nomor placeholder diganti dengan nomor `012345678901` ID akun manajemen AFT. Kebijakan kepercayaan untuk `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ ** AWSAFTService Peran tersebut, dijelaskan** `AWSAFTService`Peran ini menyebarkan sumber daya AFT di semua akun yang terdaftar dan dikelola, termasuk akun bersama dan akun manajemen. Sumber daya sebelumnya hanya digunakan oleh peran tersebut. `AWSAFTExecution` `AWSAFTService`Peran ini dimaksudkan untuk digunakan oleh infrastruktur layanan untuk menyebarkan sumber daya selama tahap penyediaan, dan `AWSAFTExecution` peran tersebut dimaksudkan untuk digunakan hanya untuk menyebarkan kustomisasi. Dengan mengasumsikan peran dengan cara ini, Anda dapat mempertahankan kontrol akses yang lebih terperinci selama setiap tahap. Izin untuk `AWSAFTService` peran: **AdministratorAccess**— kebijakan yang dikelola AWS Artefak JSON berikut menunjukkan kebijakan IAM (hubungan kepercayaan) yang melekat pada peran tersebut. `AWSAFTService` Nomor placeholder diganti dengan nomor `012345678901` ID akun manajemen AFT. Kebijakan kepercayaan untuk `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------