本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS Control Tower 控制台所需要的权限
当您设置登录区时,AWS Control Tower 会自动创建三个角色。这三个角色都是访问控制台所必需的。作为最佳实践,AWS Control Tower 将权限拆分为三个角色来限制对最小操作和资源集的访问。
**访问登录区需要的三个角色**
+ [AWS ControlTowerAdmin 角色](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
+ [AWSControlTowerCloudTrailRole](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)
建议您限制对这些角色的角色信任策略的访问。有关更多信息,请参阅 [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。
## 在控制台中查看 Control Catalog
要在 AWS Control Tower 控制台中查看控件信息,必须向 IAM 策略中添加其他 `controlcatalog` 权限。这些权限如下所示:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
以下是显示策略中更新的权限的示例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
您必须添加这些权限,因为 AWS Control Tower 调用`controlcatalog` APIs 来检索某些控制元数据,因此 AWS Control Tower 权限是不够的。
要了解有关如何更新权限的更多信息,请参阅[创建角色和分配权限](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html)。
要了解有关 `controlcatalog` IAM 操作的更多信息,请参阅 [Control Catalog 的操作、资源和条件键](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html)。
**注意**
控制信息可通过[控制目录](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html)获得 APIs。