Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower
Questo argomento fornisce esempi di policy basate sull'identità che dimostrano come un amministratore di account può associare policy di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedere le autorizzazioni per eseguire operazioni sulle risorse AWS Control Tower.
Importante
Ti consigliamo di consultare prima gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse AWS Control Tower. Per ulteriori informazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Control Tower.
AWS ControlTowerAdmin ruolo
Questo ruolo fornisce ad AWS Control Tower l'accesso all'infrastruttura fondamentale per il mantenimento della landing zone. Il AWS ControlTowerAdmin ruolo richiede una policy gestita allegata e una policy di trust dei ruoli per il ruolo IAM. Una policy di fiducia nei ruoli è una politica basata sulle risorse, che specifica quali dirigenti possono assumere il ruolo.
Ecco un esempio di frammento di questa policy sulla fiducia dei ruoli:
Per creare questo ruolo dalla AWS CLI e inserirlo in un file chiamatotrust.json, ecco un esempio di comando CLI:
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
Questo ruolo richiede due politiche IAM.
-
Una politica in linea, ad esempio:
-
La politica gestita che segue, che è la
AWS ControlTowerServiceRolePolicy.
AWS ControlTowerServiceRolePolicy
AWS ControlTowerServiceRolePolicySi tratta di una policy AWS gestita che definisce le autorizzazioni per creare e gestire risorse AWS Control Tower, come AWS CloudFormation stackset e istanze di stack, file di AWS CloudTrail log, un aggregatore di configurazione per AWS Control Tower, AWS Organizations nonché account e unità organizzative OUs () governati da AWS Control Tower.
Gli aggiornamenti a questa policy gestita sono riepilogati nella tabella,. Policy gestite per AWS Control Tower
Per ulteriori informazioni, vedere AWS ControlTowerServiceRolePolicyla AWS Managed Policy Reference Guide.
Politica sulla fiducia dei ruoli:
La politica in linea èAWS ControlTowerAdminPolicy:
AWS ControlTowerIdentityCenterManagementPolicy
Questa policy fornisce le autorizzazioni per configurare le risorse IAM Identity Center (iDC) negli account dei membri registrati con AWS Control Tower. Quando selezioni IAM Identity Center come provider di identità durante la configurazione (o l'aggiornamento) della landing zone in AWS Control Tower, questa policy viene allegata al AWS ControlTowerAdmin ruolo.
Per visualizzare ulteriori dettagli sulla policy, inclusa la versione più recente del documento di policy JSON, consulta AWS ControlTowerIdentityCenterManagementPolicy nella Guida di riferimento alle policy gestite da AWS .
AWS ControlTowerStackSetRole
CloudFormation assume questo ruolo per distribuire set di stack negli account creati da AWS Control Tower. Policy inline:
Policy di trust
AWS ControlTowerCloudTrailRolePolicy
AWS Control CloudTrail Tower è una best practice e fornisce questo ruolo a CloudTrail. CloudTrail assume questo ruolo per creare e pubblicare CloudTrail log.
Politica gestita: AWS ControlTowerCloudTrailRolePolicy
Questo ruolo utilizza la policy AWS-managedAWS ControlTowerCloudTrailRolePolicy, che concede le autorizzazioni necessarie per pubblicare CloudTrail i log di controllo su CloudWatch Amazon Logs per conto di AWS Control Tower. Questa policy gestita sostituisce la policy in linea utilizzata in precedenza per questo ruolo, consentendo AWS di aggiornare la policy senza l'intervento del cliente.
Per ulteriori informazioni, consulta AWS ControlTowerCloudTrailRolePolicyla AWS Managed Policy Reference Guide.
Gli aggiornamenti a questa politica gestita sono riepilogati nella tabella,Policy gestite per AWS Control Tower.
Nota
Prima dell'introduzione della politica gestita, questo ruolo utilizzava una politica in linea con autorizzazioni equivalenti. La politica in linea è stata sostituita dalla politica gestita per consentire aggiornamenti senza interruzioni.
Politica in linea precedente (per riferimento):
Policy di trust
AWS ControlTowerBlueprintAccess requisiti di ruolo
AWS Control Tower richiede la creazione del AWS ControlTowerBlueprintAccess ruolo nell'account Blueprint Hub designato, all'interno della stessa organizzazione.
Role name (Nome ruolo)
Il nome del ruolo deve essereAWS ControlTowerBlueprintAccess.
Politica di fiducia nei ruoli
Il ruolo deve essere impostato in modo da considerare attendibili i seguenti principi:
-
Il principale che utilizza AWS Control Tower nell'account di gestione.
-
Il
AWS ControlTowerAdminruolo nell'account di gestione.
L'esempio seguente mostra una politica di fiducia basata sui privilegi minimi. Quando crei la tua policy, sostituisci il termine YourManagementAccountId con l'ID account effettivo del tuo account di gestione AWS Control Tower e sostituisci il termine YourControlTowerUserRole con l'identificatore del ruolo IAM per il tuo account di gestione.
Autorizzazioni di ruolo
È necessario allegare la politica gestita AWSServiceCatalogAdminFullAccessal ruolo.
AWSServiceRoleForAWSControlTorre
Questo ruolo fornisce ad AWS Control Tower l'accesso all'account Log Archive, all'account Audit e agli account dei membri, per operazioni fondamentali per il mantenimento della landing zone, come la notifica di risorse alla deriva.
Il AWS ServiceRoleFor AWS ControlTower ruolo richiede una policy gestita allegata e una policy di trust dei ruoli per il ruolo IAM.
Policy gestita per questo ruolo: AWS ControlTowerAccountServiceRolePolicy
Politica di fiducia nei ruoli:
AWS ControlTowerAccountServiceRolePolicy
Questa policy AWS gestita consente ad AWS Control Tower di chiamare AWS servizi che forniscono configurazione automatica degli account e governance centralizzata per tuo conto.
La policy contiene le autorizzazioni minime per AWS Control Tower per implementare l'inoltro dei AWS Security Hub CSPM risultati per le risorse gestite dai controlli CSPM di Security Hub che fanno parte dello standard gestito dal servizio Security Hub CSPM: AWS Control Tower e impedisce modifiche che limitano la capacità di gestire gli account dei clienti. Fa parte di un processo di rilevamento delle AWS Security Hub CSPM deviazioni in background che non viene avviato direttamente da un cliente.
La policy concede le autorizzazioni per creare EventBridge regole Amazon, in particolare per i controlli CSPM di Security Hub, in ogni account membro e queste regole devono specificare un valore esatto. EventPattern Inoltre, una regola può funzionare solo su regole gestite dal responsabile del nostro servizio.
Responsabile del servizio: controltower.amazonaws.com
Per ulteriori informazioni, consulta AWS ControlTowerAccountServiceRolePolicyla AWS Managed Policy Reference Guide.
Gli aggiornamenti a questa politica gestita sono riepilogati nella tabella,Policy gestite per AWS Control Tower.
