Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower - AWS Control Tower
AWSPerfil ControlTowerAdminAWSControlTowerServiceRolePolicyAWSControlTowerIdentityCenterManagementPolicyAWSControlTowerStackSetRoleAWSControlTowerCloudTrailRoleRequisitos do perfil AWSControlTowerBlueprintAccessAWSServiceRoleForAWSControlTowerAWSControlTowerAccountServiceRolePolicy

Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower

Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, conceder permissões para realizar operações em recursos do AWS Control Tower.

Importante

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do AWS Control Tower. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do AWS Control Tower.

AWSPerfil ControlTowerAdmin

Esse perfil concede ao AWS Control Tower o acesso à infraestrutura essencial para manter a zona de pouso. O perfil AWSControlTowerAdmin exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM. Uma política de confiança de perfil é uma política baseada no recurso que especifica quais entidades principais podem assumir o perfil.

Aqui está um exemplo de política de confiança de perfil:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para criar esse perfil pela AWS CLI e colocá-lo em um arquivo chamado trust.json, veja um exemplo de comando da CLI:

aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json

Esse perfil exige duas políticas do IAM.

  1. Uma política em linha, por exemplo:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*"
        }
    ]
}

  2. A política gerenciada a seguir, que é AWSControlTowerServiceRolePolicy.

AWSControlTowerServiceRolePolicy

AWSControlTowerServiceRolePolicy é uma política gerenciada pela AWS que define permissões para criar e gerenciar recursos do AWS Control Tower, como conjuntos de pilhas e instâncias de pilha do AWS CloudFormation, arquivos de log do AWS CloudTrail, um agregador de configuração para o AWS Control Tower, bem como contas e unidades organizacionais (UOs) do AWS Organizations que são administradas pelo AWS Control Tower.

As atualizações dessa política gerenciada estão resumidas na tabela Políticas gerenciadas para o AWS Control Tower.

Para obter mais informações, consulte AWSControlTowerServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política de confiança de perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

A política em linha é AWSControlTowerAdminPolicy:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AWSControlTowerIdentityCenterManagementPolicy

Essa política fornece permissões para configurar os recursos do Centro de Identidade do IAM (IdC) nas contas de membro inscritas no AWS Control Tower. Quando você seleciona o Centro de Identidade do IAM como seu provedor de identidade durante a configuração (ou atualização) da zona de pouso no AWS Control Tower, essa política é anexada à função da AWSControlTowerAdmin.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte AWSControlTowerIdentityCenterManagementPolicy no Guia de referência de políticas gerenciadas pela AWS.

AWSControlTowerStackSetRole

O CloudFormation assume esse perfil para implantar conjuntos de pilhas nas contas criadas pelo AWS Control Tower. Política em linha:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}

Política de confiança

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWSControlTowerCloudTrailRole

O AWS Control Tower habilita o CloudTrail como uma prática recomendada e fornece esse perfil ao CloudTrail. O CloudTrail assume esse perfil para criar e publicar logs do CloudTrail. Política em linha:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}

Política de confiança

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Requisitos do perfil AWSControlTowerBlueprintAccess

O AWS Control Tower exige que você crie o perfil AWSControlTowerBlueprintAccess na conta designada do hub de esquemas designada, dentro da mesma organização.

Nome do perfil

O tipo de função deve ser AWSControlTowerBlueprintAccess.

Política de confiança de perfil

O perfil deve ser configurado para confiar nestas entidades principais:

  • A entidade principal que usa o AWS Control Tower na conta de gerenciamento.

  • O perfil AWSControlTowerAdmin na conta de gerenciamento.

O exemplo a seguir mostra uma política de confiança de privilégio mínimo. Ao criar sua própria política, substitua o termo YourManagementAccountId pelo ID da conta real da conta de gerenciamento do AWS Control Tower e substitua o termo YourControlTowerUserRole pelo identificador do perfil do IAM da sua conta de gerenciamento.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

Permissões do perfil

Você precisa anexar a política gerenciada AWSServiceCatalogAdminFullAccess ao perfil.

AWSServiceRoleForAWSControlTower

Esse perfil fornece ao AWS Control Tower acesso à conta de arquivamento de logs, à conta de auditoria e às contas-membros para operações essenciais de manutenção da zona de pouso, como notificar você sobre recursos com desvio.

O perfil AWSServiceRoleForAWSControlTower exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM.

Política gerenciada para esse perfil: AWSControlTowerAccountServiceRolePolicy

Política de confiança de perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWSControlTowerAccountServiceRolePolicy

Essa política gerenciada pela AWS permite que o AWS Control Tower chame os serviços da AWS que fornecem configuração automatizada de contas e governança centralizada em seu nome.

A política contém as permissões mínimas para o AWS Control Tower implementar o encaminhamento de descobertas do AWS Security Hub CSPM para recursos gerenciados pelos controles do Security Hub que fazem parte do padrão gerenciado pelo serviço do Security Hub: AWS Control Tower, e evita alterações que restringem a capacidade de gerenciar contas de clientes. Faz parte do processo de detecção de desvios do AWS Security Hub CSPM em segundo plano que não é iniciado diretamente pelo cliente.

A política concede permissões para criar regras do Amazon EventBridge, especificamente para controles do Security Hub, em cada conta-membro, e essas regras devem especificar um EventPattern exato. Além disso, uma regra pode operar somente em regras gerenciadas por nossa entidade principal do serviço.

Entidade principal do serviço: controltower.amazonaws.com

Para obter mais informações, consulte AWSControlTowerAccountServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

As atualizações dessa política gerenciada estão resumidas na tabela Políticas gerenciadas para o AWS Control Tower.