使用 AWS Control Tower 控制台所需要的权限 - AWS Control Tower
在控制台中查看 Control Catalog

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Control Tower 控制台所需要的权限

当您设置登录区时,AWS Control Tower 会自动创建三个角色。这三个角色都是访问控制台所必需的。作为最佳实践,AWS Control Tower 将权限拆分为三个角色来限制对最小操作和资源集的访问。

访问登录区需要的三个角色

建议您限制对这些角色的角色信任策略的访问。有关更多信息,请参阅 Optional conditions for your role trust relationships

在控制台中查看 Control Catalog

要在 AWS Control Tower 控制台中查看控件信息,必须向 IAM 策略中添加其他 controlcatalog 权限。这些权限如下所示:

  • controlcatalog:GetControl

  • controlcatalog:ListControls

  • controlcatalog:ListControlMappings

  • controlcatalog:ListCommonControls

以下是显示策略中更新的权限的示例。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

您必须添加这些权限,因为 AWS Control Tower 调用controlcatalog APIs 来检索某些控制元数据,因此 AWS Control Tower 权限是不够的。

要了解有关如何更新权限的更多信息,请参阅创建角色和分配权限

要了解有关 controlcatalog IAM 操作的更多信息,请参阅 Control Catalog 的操作、资源和条件键

注意

控制信息可通过控制目录获得 APIs。