AWS Control Tower コンソールを使用するために必要なアクセス許可 - AWS Control Tower
コンソールで Control Catalog を表示する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower コンソールを使用するために必要なアクセス許可

AWS Control Tower は、ランディングゾーンを設定するときに、3 つのロールを自動的に作成します。コンソールアクセスを許可するには、3 つのロールすべてが必要です。AWS Control Tower では、アクションおよびリソースの最小セットへのアクセスを制限するためのベストプラクティスとして、アクセス許可が 3 つのロールに分割されます。

ランディングゾーンアクセスに必要な 3 つのロール

これらのロールのロール信頼ポリシーへのアクセスを制限することをお勧めします。詳細については、「Optional conditions for your role trust relationships」を参照してください。

コンソールで Control Catalog を表示する

AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーにアクセスcontrolcatalog許可を追加する必要があります。これらのアクセス許可は次のとおりです。

  • controlcatalog:GetControl

  • controlcatalog:ListControls

  • controlcatalog:ListControlMappings

  • controlcatalog:ListCommonControls

ポリシーで更新されたアクセス許可の例を次に示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

これらのアクセス許可を追加する必要があります。AWS Control Tower は controlcatalog APIs を呼び出して特定のコントロールメタデータを取得するため、AWS Control Tower のアクセス許可では不十分です。

アクセス許可を更新する方法の詳細については、「ロールの作成とアクセス許可の割り当て」を参照してください。

IAM アクションの詳細については、「Control Catalog controlcatalog のアクション、リソース、および条件キー」を参照してください。 https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscontrolcatalog.html

注記

コントロール情報は、Control Catalog APIsから入手できます。