Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Passaggio 1. Crea il ruolo richiesto Prima di iniziare a personalizzare gli account, devi configurare un ruolo che contenga una relazione di fiducia tra AWS Control Tower e il tuo account hub. Se assunto, il ruolo concede ad AWS Control Tower l'accesso per amministrare le risorse nell'account dell'hub. Il ruolo deve essere denominato. **AWSControlTowerBlueprintAccess** AWS Control Tower assume questo ruolo per creare una risorsa Portfolio per tuo conto in AWS Service Catalog, quindi aggiungere il tuo blueprint come prodotto Service Catalog a questo portafoglio e quindi condividere questo portafoglio e il tuo blueprint con il tuo account membro durante il provisioning dell'account. Sarai tu a creare il `AWSControlTowerBlueprintAccess` ruolo, come spiegato nelle seguenti sezioni. Puoi impostare il ruolo in un account registrato o non registrato. **Accedi alla console IAM per configurare il ruolo richiesto.** **Per configurare il AWSControl TowerBlueprintAccess ruolo in un account AWS Control Tower registrato** 1. Federa o accedi come principale nell'account di gestione AWS Control Tower. 1. Dal principale federato nell'account di gestione, assumi o passa al `AWSControlTowerExecution` ruolo nell'account AWS Control Tower registrato che scegli per fungere da account Blueprint Hub. 1. Dal `AWSControlTowerExecution` ruolo nell'account AWS Control Tower registrato, crea il `AWSControlTowerBlueprintAccess` ruolo con autorizzazioni e relazioni di fiducia adeguate. **Importante** Per rispettare le linee guida sulle AWS best practice, è importante uscire dal `AWSControlTowerExecution` ruolo subito dopo averlo creato. `AWSControlTowerBlueprintAccess` Per evitare modifiche involontarie alle risorse, il `AWSControlTowerExecution` ruolo è destinato esclusivamente all'uso da parte di AWS Control Tower. Se il tuo account blueprint hub non è registrato in AWS Control Tower, il `AWSControlTowerExecution` ruolo non esisterà nell'account e non è necessario assumerlo prima di continuare con la configurazione del `AWSControlTowerBlueprintAccess` ruolo. **Per configurare il AWSControl TowerBlueprintAccess ruolo in un account membro non registrato** 1. Federati o accedi come principale all'account che desideri designare come account hub, utilizzando il metodo che preferisci. 1. Una volta effettuato l'accesso come responsabile dell'account, crea il `AWSControlTowerBlueprintAccess` ruolo con le autorizzazioni e le relazioni di fiducia appropriate. Il **AWSControlTowerBlueprintAccess**ruolo deve essere impostato in modo da garantire la fiducia a due responsabili: + Il principale (utente) che esegue AWS Control Tower nell'account di gestione AWS Control Tower. + Il ruolo indicato `AWSControlTowerAdmin` nell'account di gestione AWS Control Tower. Ecco un esempio di policy di fiducia, simile a quella che dovrai includere per il tuo ruolo. Questa politica dimostra la migliore pratica di concedere l'accesso con privilegi minimi. Quando crei la tua policy, sostituisci il termine {{YourManagementAccountId}} con l'ID account effettivo del tuo account di gestione AWS Control Tower e sostituisci il termine {{YourControlTowerUserRole}} con l'identificatore del ruolo IAM per il tuo account di gestione. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **Policy sulle autorizzazioni richieste** AWS Control Tower richiede che la policy `AWSServiceCatalogAdminFullAccess` gestita denominata sia associata al `AWSControlTowerBlueprintAccess` ruolo. Questa policy fornisce le autorizzazioni necessarie quando consente ad AWS Control Tower di amministrare il portafoglio e le risorse AWS Service Catalog del prodotto. AWS Service Catalog Puoi allegare questa policy quando crei il ruolo nella console IAM. **Potrebbero essere necessarie autorizzazioni aggiuntive** Se memorizzi i tuoi blueprint in Amazon S3, AWS Control Tower richiede anche `AmazonS3ReadOnlyAccess` la politica di autorizzazione per `AWSControlTowerBlueprintAccess` il ruolo. **Il tipo di prodotto AWS Service Catalog Terraform richiede l'aggiunta di alcune autorizzazioni aggiuntive alla politica IAM personalizzata AFC, se non utilizzi la politica di amministrazione predefinita.** Li richiede oltre alle autorizzazioni necessarie per creare le risorse definite nel modello terraform.