本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 第 1 步:创建所需的角色 在开始自定义账户之前,您必须设置一个包含 AWS Control Tower 和您的中心账户之间的信任关系的角色。代入后,该角色将为 AWS Control Tower 授予用于管理中心账户内资源的访问权限。必须为角色命名**AWSControlTowerBlueprintAccess**。 AWS Control Tower 担任此角色代表您在中创建投资组合资源 AWS Service Catalog,然后将您的蓝图作为服务目录产品添加到该产品组合中,然后在账户配置期间与您的成员账户共享此产品组合和蓝图。 您需要按照以下几节中的说明创建 `AWSControlTowerBlueprintAccess` 角色。您可以在已注册的账户或已取消注册的账户中设置角色。 **导航到 IAM 控制台以设置所需的角色。** **在已注册的 AWS Control Tower 账户中设置该 AWSControlTowerBlueprintAccess 角色** 1. 在 AWS Control Tower 管理账户中以主体身份进行联合身份验证或登录。 1. 在管理账户中,以联合主体身份担任或切换到您选择用作蓝图中心账户的已注册 AWS Control Tower 账户中的 `AWSControlTowerExecution` 角色。 1. 以已注册 AWS Control Tower 账户中的 `AWSControlTowerExecution` 角色,创建具有适当权限和信任关系的 `AWSControlTowerBlueprintAccess` 角色。 **重要** 为了遵守 AWS 最佳实践指南,在创建角色后立即注`AWSControlTowerExecution`销该角色非常重要。`AWSControlTowerBlueprintAccess` 为防止对资源进行意外更改,`AWSControlTowerExecution` 角色仅供 AWS Control Tower 使用。 如果您的蓝图中心账户未在 AWS Control Tower 中注册,则该账户中将不存在 `AWSControlTowerExecution` 角色,因此在继续设置 `AWSControlTowerBlueprintAccess` 角色之前,无需先担任该角色。 **在未注册的成员账户中设置 AWSControlTowerBlueprintAccess 角色** 1. 使用您的首选方法,在您希望指定为中心账户的账户中以主体身份进行联合身份验证或登录。 1. 以主体身份登录账户后,创建具有适当权限和信任关系的 `AWSControlTowerBlueprintAccess` 角色。 必须将该**AWSControlTowerBlueprintAccess**角色设置为向两位委托人授予信任: + 在 AWS Control Tower 管理账户中运行 AWS Control Tower 的主体(用户)。 + AWS Control Tower 管理账户中名为 `AWSControlTowerAdmin` 的角色。 下面是一个信任策略示例,与您需要为自己的角色添加的策略类似。此策略展示了授予最低访问权限的最佳实践。当您制定自己的策略时,请将 {{YourManagementAccountId}} 替换为您的 AWS Control Tower 管理账户的实际账户 ID,并将 {{YourControlTowerUserRole}} 替换为管理账户的 IAM 角色标识符。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **所需的权限策略** AWS Control Tower 要求必须将名为 `AWSServiceCatalogAdminFullAccess` 的托管策略附加到 `AWSControlTowerBlueprintAccess` 角色。此策略提供的权限适用于何时允许 AWS Control Tower 管理您的产品组合和 AWS Service Catalog 产品资源。 AWS Service Catalog 当您在 IAM 控制台中创建角色时,可以附加此策略。 **可能需要其他权限** 如果您将蓝图存储在 Amazon S3 中,AWS Control Tower 还要求为 `AWSControlTowerBlueprintAccess` 角色附加 `AmazonS3ReadOnlyAccess` 权限策略。 如果您不使用默认的**管理员**策略, AWS Service Catalog Terraform 类型的产品要求您向 AFC 自定义 IAM 策略添加一些额外的权限。除了创建您在 terraform 模板中定义的资源所需的权限外,它还需要这些额外权限。