Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Ruoli richiesti In generale, i ruoli e le politiche fanno parte della gestione delle identità e degli accessi (IAM) in. AWS Per ulteriori informazioni, consulta la [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html). AFT crea diversi ruoli e policy IAM nella gestione AFT e negli account di gestione AWS Control Tower per supportare le operazioni della pipeline AFT. Questi ruoli vengono creati sulla base del modello di accesso con privilegi minimi, che limita le autorizzazioni ai set di azioni e risorse minimamente richiesti per ogni ruolo e policy. A questi ruoli e politiche viene assegnata una `key:value` coppia di AWS tag, per quanto riguarda ` managed_by:AFT` l'identificazione. Oltre a questi ruoli IAM, AFT crea tre ruoli essenziali: + il `AWSAFTAdmin` ruolo + il `AWSAFTExecution` ruolo + il `AWSAFTService` ruolo Questi ruoli sono spiegati nelle sezioni seguenti. **Il AWSAFTAdmin ruolo, spiegato** Quando si distribuisce AFT, il `AWSAFTAdmin` ruolo viene creato nell'account di gestione AFT. Questo ruolo consente alla pipeline AFT di assumere il `AWSAFTExecution` ruolo negli account forniti da AWS Control Tower e AFT, eseguendo quindi azioni relative al provisioning e alle personalizzazioni degli account. Ecco la policy in linea (artefatto JSON) allegata al ruolo: `AWSAFTAdmin` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ Il seguente artefatto JSON mostra la relazione di fiducia per il ruolo. `AWSAFTAdmin` Il numero segnaposto `012345678901` viene sostituito dal numero ID dell'account di gestione AFT. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Il AWSAFTExecution ruolo, spiegato** Quando si distribuisce AFT, il `AWSAFTExecution` ruolo viene creato negli account di gestione AFT e AWS Control Tower. Successivamente, la pipeline AFT crea il `AWSAFTExecution` ruolo in ogni account fornito da AFT durante la fase di provisioning dell'account AFT. AFT utilizza inizialmente il `AWSControlTowerExecution` ruolo per creare il `AWSAFTExecution` ruolo in account specifici. Il `AWSAFTExecution` ruolo consente alla pipeline AFT di eseguire i passaggi eseguiti durante le fasi di personalizzazione del provisioning e del provisioning del framework AFT, per gli account con provisioning AFT e per gli account condivisi. **I ruoli distinti aiutano a limitare l'ambito** Come procedura ottimale, mantieni le autorizzazioni di personalizzazione separate dalle autorizzazioni consentite durante la distribuzione iniziale delle risorse. Ricorda che il `AWSAFTService` ruolo è destinato al provisioning degli account e il `AWSAFTExecution` ruolo è destinato alla personalizzazione dell'account. Questa separazione limita l'ambito delle autorizzazioni consentite durante ogni fase della pipeline. Questa distinzione è particolarmente importante se si personalizzano gli account condivisi di AWS Control Tower, poiché gli account condivisi possono contenere informazioni sensibili, come dettagli di fatturazione o informazioni sull'utente. Autorizzazioni per il `AWSAFTExecution` ruolo: **AdministratorAccess**— una policy gestita da AWS Il seguente artefatto JSON mostra la policy IAM (relazione di fiducia) associata al ruolo. `AWSAFTExecution` Il numero segnaposto `012345678901` viene sostituito dal numero ID dell'account di gestione AFT. Politica di fiducia per `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Il AWSAFTService ruolo, spiegato** Il `AWSAFTService` ruolo distribuisce le risorse AFT in tutti gli account registrati e gestiti, inclusi gli account condivisi e l'account di gestione. In precedenza le risorse venivano utilizzate solo in base al ruolo. `AWSAFTExecution` Il `AWSAFTService` ruolo è destinato all'utilizzo da parte dell'infrastruttura di servizio per distribuire risorse durante la fase di provisioning e deve essere utilizzato `AWSAFTExecution` solo per implementare personalizzazioni. Assumendo i ruoli in questo modo, è possibile mantenere un controllo degli accessi più granulare durante ogni fase. Autorizzazioni per il `AWSAFTService` ruolo: **AdministratorAccess**— una policy gestita da AWS Il seguente artefatto JSON mostra la policy IAM (relazione di fiducia) associata al ruolo. `AWSAFTService` Il numero segnaposto `012345678901` viene sostituito dal numero ID dell'account di gestione AFT. Politica di fiducia per `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------