As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões necessárias para usar o console do AWS Control Tower

O AWS Control Tower cria três perfis automaticamente quando você configura uma zona de pouso. Todos os três perfis são necessários para permitir o acesso ao console. O AWS Control Tower divide as permissões em três perfis como uma prática recomendada para restringir o acesso ao mínimo de conjuntos de ações e recursos.

Recomendamos que você restrinja o acesso às políticas de confiança de perfil a esses perfis. Consulte mais informações em Optional conditions for your role trust relationships.

Veja o Catálogo de Controle no console

Para visualizar as informações de controle no console do AWS Control Tower, você deve adicionar controlcatalog permissões adicionais às suas políticas do IAM. Essas permissões são as seguintes:

Aqui está um exemplo mostrando as permissões atualizadas na política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Você deve adicionar essas permissões porque o AWS Control Tower chama o controlcatalog APIs para recuperar determinados metadados de controle, portanto, as permissões do AWS Control Tower não são suficientes.

Para obter mais informações sobre como atualizar suas permissões, consulte Criar funções e atribuir permissões.

Para encontrar mais informações sobre as ações controlcatalog do IAM, consulte Ações, recursos e chaves de condição para o Control Catalog.