使用 AWS Control Tower 控制台所需的权限

当您设置登录区时，AWS Control Tower 会自动创建三个角色。这三个角色都是访问控制台所必需的。作为最佳实践，AWS Control Tower 将权限拆分为三个角色来限制对最小操作和资源集的访问。

进入着陆区需要三个角色

建议您限制对这些角色的角色信任策略的访问。有关更多信息，请参阅 Optional conditions for your role trust relationships。

在控制台中查看控制目录

要在 AWS Control Tower 控制台中查看控制信息，您必须向 IAM 策略添加其他controlcatalog权限。这些权限如下所示：

controlcatalog:GetControl
controlcatalog:ListControls
controlcatalog:ListControlMappings
controlcatalog:ListCommonControls

以下是显示策略中更新的权限的示例。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

您必须添加这些权限，因为 AWS Control Tower 调用controlcatalog APIs 来检索某些控制元数据，因此 AWS Control Tower 权限是不够的。

要了解有关如何更新权限的更多信息，请参阅创建角色和分配权限。

要了解有关 controlcatalog IAM 操作的更多信息，请参阅控制目录的操作、资源和条件键。

注意

控制信息可通过控制目录获得 APIs。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS Control Tower 的 IAM 策略

AWS Control Tower 的托管策略