As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, conceder permissões para realizar operações em recursos do AWS Control Tower.
**Importante**
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do AWS Control Tower. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos recursos do AWS Control Tower](access-control-overview.md).
# Permissões obrigatórias para usar o console do AWS Control Tower
O AWS Control Tower cria três perfis automaticamente quando você configura uma zona de pouso. Todos os três perfis são necessários para permitir o acesso ao console. O AWS Control Tower divide as permissões em três perfis como uma prática recomendada para restringir o acesso ao mínimo de conjuntos de ações e recursos.
**Três funções necessárias para acesso à zona de pouso**
+ [AWS ControlTowerAdmin papel](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
Recomendamos que você restrinja o acesso às políticas de confiança de perfil a esses perfis. Consulte mais informações em [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).
## Visualizar o Control Catalog no console
Para visualizar as informações de controle no console do AWS Control Tower, você deve adicionar permissões `controlcatalog` adicionais às suas políticas do IAM. Essas permissões são as seguintes:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
Aqui está um exemplo mostrando as permissões atualizadas na política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Você deve adicionar essas permissões porque o AWS Control Tower chama o `controlcatalog` APIs para recuperar determinados metadados de controle, portanto, as permissões do AWS Control Tower não são suficientes.
Para obter mais informações sobre como atualizar suas permissões, consulte [Criar funções e atribuir permissões](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html).
Para obter mais informações sobre ações do IAM do `controlcatalog`, consulte [Ações, recursos e chaves de condição do Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).
**nota**
As informações de controle estão disponíveis por meio do [Catálogo de Controle APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).
## AWS ControlTowerAdmin papel
Esse perfil concede ao AWS Control Tower o acesso à infraestrutura essencial para manter a zona de pouso. O perfil `AWS ControlTowerAdmin` exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM. Uma *política de confiança de perfil* é uma política baseada no recurso que especifica quais entidades principais podem assumir o perfil.
Aqui está um exemplo de política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para criar essa função a partir da AWS CLI e colocá-la em um arquivo chamado`trust.json`, veja um exemplo de comando da CLI:
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
Esse perfil exige duas políticas do IAM.
1. Uma política em linha, por exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. A política gerenciada a seguir, que é `AWS ControlTowerServiceRolePolicy`.
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy**É uma política AWS gerenciada que define permissões para criar e gerenciar recursos da AWS Control Tower, como AWS CloudFormation conjuntos de pilhas e instâncias de pilha, arquivos de AWS CloudTrail log, um agregador de configuração para a AWS Control Tower, bem como AWS Organizations contas e unidades organizacionais (OUs) que são governadas pela AWS Control Tower.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).
Para obter mais informações, consulte [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
Política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
A política em linha é `AWS ControlTowerAdminPolicy`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
Essa política fornece permissões para configurar os recursos do Centro de Identidade do IAM (IdC) nas contas de membro inscritas no AWS Control Tower. Quando você seleciona o Centro de Identidade do IAM como seu provedor de identidade durante a configuração (ou atualização) da zona de pouso no AWS Control Tower, essa política é anexada à função da `AWS ControlTowerAdmin`.
Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) no *AWS Managed Policy Reference Guide*.
## AWS ControlTowerStackSetRole
CloudFormation assume essa função para implantar conjuntos de pilhas em contas criadas pela AWS Control Tower. Política em linha:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**Política de confiança**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
O AWS Control Tower habilita, CloudTrail como melhor prática, e fornece essa função para CloudTrail. CloudTrail assume essa função para criar e publicar CloudTrail registros.
**Política gerenciada:** `AWS ControlTowerCloudTrailRolePolicy`
Essa função usa a política AWS gerenciada`AWS ControlTowerCloudTrailRolePolicy`, que concede CloudTrail as permissões necessárias para publicar registros de auditoria no Amazon CloudWatch Logs em nome da AWS Control Tower. Essa política gerenciada substitui a política em linha usada anteriormente para essa função, permitindo atualizar AWS a política sem a intervenção do cliente.
Para obter mais informações, consulte [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).
**nota**
Antes da introdução da política gerenciada, essa função usava uma política embutida com permissões equivalentes. A política em linha foi substituída pela política gerenciada para permitir atualizações contínuas.
**Política embutida anterior (para referência):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**Política de confiança**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess requisitos de função
O AWS Control Tower exige que você crie o perfil `AWS ControlTowerBlueprintAccess` na conta designada do hub de esquemas designada, dentro da mesma organização.
**Nome da função**
O tipo de função deve ser `AWS ControlTowerBlueprintAccess`.
**Política de confiança de perfil**
O perfil deve ser configurado para confiar nestas entidades principais:
+ A entidade principal que usa o AWS Control Tower na conta de gerenciamento.
+ O perfil `AWS ControlTowerAdmin` na conta de gerenciamento.
O exemplo a seguir mostra uma política de confiança de privilégio mínimo. Ao criar sua própria política, substitua o termo *YourManagementAccountId* pelo ID da conta real da conta de gerenciamento do AWS Control Tower e substitua o termo *YourControlTowerUserRole* pelo identificador do perfil do IAM da sua conta de gerenciamento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**Permissões do perfil**
Você deve anexar a política gerenciada **AWSServiceCatalogAdminFullAccess**à função.
## AWSServiceRoleForAWSControlTorre
Esse perfil fornece ao AWS Control Tower acesso à conta de arquivamento de logs, à conta de auditoria e às contas-membros para operações essenciais de manutenção da zona de pouso, como notificar você sobre recursos com desvio.
O perfil `AWS ServiceRoleFor AWS ControlTower` exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM.
**Política gerenciada para esse perfil: **`AWS ControlTowerAccountServiceRolePolicy`
Política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
Essa política AWS gerenciada permite que o AWS Control Tower chame AWS serviços que fornecem configuração automatizada de contas e governança centralizada em seu nome.
A política contém as permissões mínimas para que a AWS Control Tower implemente o encaminhamento de AWS Security Hub CSPM descobertas para recursos gerenciados pelos controles CSPM do Security Hub que fazem parte do padrão gerenciado pelo **serviço CSPM do Security Hub: AWS Control Tower**, e evita alterações que restringem a capacidade de gerenciar contas de clientes. Faz parte do processo de detecção de desvios do AWS Security Hub CSPM em segundo plano que não é iniciado diretamente pelo cliente.
A política concede permissões para criar EventBridge regras da Amazon, especificamente para controles CSPM do Security Hub, em cada conta membro, e essas regras devem especificar uma exata. EventPattern Além disso, uma regra pode operar somente em regras gerenciadas por nossa entidade principal do serviço.
**Entidade principal do serviço:** `controltower.amazonaws.com`
Para obter mais informações, consulte [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).
# Políticas gerenciadas para o AWS Control Tower
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): atualizar para uma política existente | A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas para a API do AWS CloudFormation serviço `BatchDescribeTypeConfigurations` para uma melhoria interna dos ganchos vinculados ao serviço. | 23 de março de 2026 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower atualizou uma política existente para melhorar a precisão da validação das condições das EventBridge regras da Amazon. A atualização move a `events:detail-type` condição de `ForAllValues:StringEquals` para `StringEquals` para um melhor controle de correspondência de padrões de eventos, mantendo as mesmas permissões funcionais. | 30 de dezembro de 2025 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower adicionou uma nova política que estende as seguintes permissões: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/managed-policies-table.html) | 10 de novembro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Política gerenciada atualizada | O AWS Control Tower atualizou o padrão de recursos do Amazon CloudWatch Logs no AWS ControlTowerServiceRolePolicy para oferecer suporte à AWS CloudTrail integração opcional da Landing Zone 4.0. O padrão mudou de `aws-controltower/CloudTrailLogs:*` para`aws-controltower/CloudTrailLogs*:*`, adicionando um caractere curinga depois `CloudTrailLogs` para permitir o gerenciamento de grupos de registros com qualquer sufixo. Essa atualização permite a AWS CloudTrail integração opcional do Landing Zone 4.0, que permite aos clientes ativar e desativar a AWS CloudTrail integração várias vezes. Sempre que a integração é ativada, os grupos de log do Amazon CloudWatch Logs são recriados com sufixos exclusivos para evitar conflitos de nomenclatura. A atualização é compatível com versões anteriores das implantações existentes. | 31 de outubro de 2025 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy): Nova política gerenciada | O AWS Control Tower introduziu a política AWS ControlTowerCloudTrailRolePolicy gerenciada, que permite CloudTrail criar fluxos de log e publicar eventos de log em grupos de log do CloudWatch Amazon Logs gerenciados pela Control Tower. Essa política gerenciada substitui a política em linha usada anteriormente pelo AWS ControlTowerCloudTrailRole, permitindo atualizar AWS a política sem a intervenção do cliente. O escopo da política é registrar grupos com nomes que correspondam ao padrão`aws-controltower/CloudTrailLogs*`. | 31 de outubro de 2025 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy): uma nova política | O AWS Control Tower adicionou uma nova política que permite aos clientes configurar recursos do Centro de Identidade do IAM em contas inscritas no AWS Control Tower e permite que o AWS Control Tower corrija alguns tipos de desvio ao inscrever contas automaticamente. Essa mudança é necessária para que os clientes possam configurar o Centro de Identidade do IAM no AWS Control Tower e para que o AWS Control Tower possa corrigir o desvio de inscrição automática. | 10 de outubro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | A AWS Control Tower adicionou novas CloudFormation permissões que permitem que a AWS Control Tower consulte e implante recursos de conjuntos de pilhas nas contas dos membros ao inscrever automaticamente as contas na AWS Control Tower. | 10 de outubro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes ativar e desativar regras vinculadas a serviços AWS Config . Essa alteração é necessária para que os clientes possam gerenciar os controles que são implantados pelas regras do Config. | 5 de junho de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem que o AWS Control Tower faça chamadas para o AWS CloudFormation serviço APIs `ActivateType` `DeactivateType``SetTypeConfiguration`, e assim por diante`AWS::ControlTower types`. Essa mudança permite que os clientes provisionem controles proativos sem a implantação de tipos de CloudFormation Hook privados. | 10 de dezembro de 2024 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): uma nova política | O AWS Control Tower adicionou uma nova função vinculada ao serviço que permite à AWS Control Tower criar e gerenciar regras de eventos e, com base nessas regras, gerenciar a detecção de desvios para controles relacionados ao CSPM do Security Hub. Essa alteração é necessária para que os clientes possam visualizar recursos desviados no console, quando esses recursos estão relacionados aos controles CSPM do Security Hub que fazem parte do padrão gerenciado pelo **serviço CSPM do Security Hub: AWS Control** Tower. | 22 de maio de 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas para`EnableRegion`,`ListRegions`, e `GetRegionOptStatus` APIs implementadas pelo serviço de gerenciamento de AWS contas, para Regiões da AWS disponibilizar o opt-in para contas de clientes na landing zone (conta de gerenciamento, conta de arquivamento de registros, conta de auditoria, contas de membros da OU). Essa mudança é necessária para que os clientes tenham a opção de expandir a governança de região do AWS Control Tower para as regiões opcionais. | 6 de abril de 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a assumir o perfil `AWSControlTowerBlueprintAccess` na conta de esquema (hub), que é uma conta dedicada em uma organização, contendo esquemas predefinidos armazenados em um ou mais produtos do Service Catalog. O AWS Control Tower assume o perfil `AWSControlTowerBlueprintAccess` para realizar três tarefas: criar um portfólio do Service Catalog, adicionar o produto do esquema solicitado e compartilhar o portfólio com uma conta-membro solicitada no momento do provisionamento da conta. Essa alteração é necessária para que os clientes possam provisionar contas personalizadas por meio do Account Factory do AWS Control Tower. | 28 de outubro de 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes configurar AWS CloudTrail trilhas em nível organizacional, começando na versão 3.0 do landing zone. O CloudTrail recurso baseado na organização exige que os clientes tenham acesso confiável habilitado para o CloudTrail serviço, e o usuário ou função do IAM deve ter permissão para criar uma trilha em nível organizacional na conta de gerenciamento. | 20 de junho de 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam os clientes a usar a criptografia de chaves do KMS. O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus registros. CloudTrail Os clientes também podem alterar a chave do KMS durante a atualização ou o reparo da zona de pouso. Ao atualizar a chave KMS, AWS CloudFormation precisa de permissões para chamar a AWS CloudTrail `PutEventSelector` API. A mudança na política é permitir que a **AWS ControlTowerAdmin**função chame a AWS CloudTrail `PutEventSelector` API. | 28 de julho de 2021 |
| AWS Control Tower começou a monitorar alterações | O AWS Control Tower começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 27 de maio de 2021 |