本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對 AWS Control Tower 使用身分型政策 (IAM 政策)
本主題提供以身分為基礎的政策範例,示範帳戶管理員如何將許可政策連接至 IAM 身分 (即使用者、群組和角色),並藉此授予在 AWS Control Tower 資源上執行操作的許可。
**重要**
我們建議您先檢閱簡介主題,這些主題說明可用於管理 AWS Control Tower 資源存取權的基本概念和選項。如需詳細資訊,請參閱[管理 AWS Control Tower 資源存取許可的概觀](access-control-overview.md)。
## AWS ControlTowerAdmin 角色
此角色可讓 AWS Control Tower 存取對維護登陸區域至關重要的基礎設施。此`AWS ControlTowerAdmin`角色需要附加的 受管政策和 IAM 角色的角色信任政策。*角色信任政策*是以資源為基礎的政策,指定哪些委託人可以擔任該角色。
以下是此角色信任政策的範例程式碼片段:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
若要從 CLI AWS 建立此角色,並將其放入名為 的檔案`trust.json`,以下是 CLI 命令範例:
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
此角色需要兩個 IAM 政策。
1. 內嵌政策,例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. 接下來的受管政策,即 `AWS ControlTowerServiceRolePolicy`。
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy** 是一種 AWS受管政策,定義建立和管理 AWS Control Tower 資源的許可,例如 AWS CloudFormation 堆疊集和堆疊執行個體、 AWS CloudTrail 日誌檔案、AWS Control Tower 的組態彙總器,以及受 AWS Control Tower 管理 AWS Organizations 的帳戶和組織單位 (OUs)。
此受管政策的更新摘要於 資料表[AWS Control Tower 的受管政策](managed-policies-table.md)。
如需詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)。
角色信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
內嵌政策為 `AWS ControlTowerAdminPolicy`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
此政策提供在註冊 AWS Control Tower 的成員帳戶中設定 IAM Identity Center (IdC) 資源的許可。當您在 AWS Control Tower 的登陸區域設定 (或更新) 期間選取 IAM Identity Center 做為身分提供者時,此政策會連接至`AWS ControlTowerAdmin`角色。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 *AWS 受管政策參考指南*》中的 [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html)。
## AWS ControlTowerStackSetRole
CloudFormation 會擔任此角色,在 AWS Control Tower 建立的帳戶中部署堆疊集。內嵌政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**信任政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower 可讓 CloudTrail 成為最佳實務,並將此角色提供給 CloudTrail。CloudTrail 會擔任此角色來建立和發佈 CloudTrail 日誌。
**受管政策:** `AWS ControlTowerCloudTrailRolePolicy`
此角色使用 AWS受管政策 `AWS ControlTowerCloudTrailRolePolicy`,授予 CloudTrail 代表 AWS Control Tower 將稽核日誌發佈至 Amazon CloudWatch Logs 所需的許可。此受管政策會取代先前用於此角色的內嵌政策,讓 AWS 無需客戶介入即可更新政策。
如需詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)。
此受管政策的更新摘要於 資料表[AWS Control Tower 的受管政策](managed-policies-table.md)。
**注意**
在引進 受管政策之前,此角色使用具有同等許可的內嵌政策。內嵌政策已由 受管政策取代,以啟用無縫更新。
**先前的內嵌政策 (以供參考):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**信任政策**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess 角色需求
AWS Control Tower 要求您在同一組織內,在指定的藍圖中樞帳戶中建立`AWS ControlTowerBlueprintAccess`角色。
**Role name (角色名稱)**
角色名稱必須是 `AWS ControlTowerBlueprintAccess`。
**角色信任政策**
必須設定 角色以信任下列委託人:
+ 管理帳戶中使用 AWS Control Tower 的委託人。
+ 管理帳戶中`AWS ControlTowerAdmin`的角色。
下列範例顯示最低權限的信任政策。當您制定自己的政策時,請將 *YourManagementAccountId* 一詞取代為 AWS Control Tower 管理帳戶的實際帳戶 ID,並將 *YourControlTowerUserRole* 一詞取代為管理帳戶的 IAM 角色識別符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**角色許可**
您必須將 受管政策 **AWSServiceCatalogAdminFullAccess** 連接至角色。
## AWSServiceRoleForAWSControlTower
此角色可讓 AWS Control Tower 存取 Log Archive 帳戶、稽核帳戶和成員帳戶,以進行維護登陸區域至關重要的操作,例如通知您資源漂移。
此`AWS ServiceRoleFor AWS ControlTower`角色需要附加的 受管政策和 IAM 角色的角色信任政策。
**此角色的受管政策: **`AWS ControlTowerAccountServiceRolePolicy`
角色信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
此 AWS受管政策可讓 AWS Control Tower 代您呼叫提供自動化帳戶組態和集中式控管 AWS 的服務。
此政策包含 AWS Control Tower 的最低許可,以針對 Security Hub CSPM 控制項管理的資源實作 AWS Security Hub CSPM 調查結果轉送,這些資源屬於 **Security Hub CSPM 服務受管標準:AWS Control Tower**,並可防止限制管理客戶帳戶能力的變更。這是背景 AWS Security Hub CSPM 偏離偵測程序的一部分,並非由客戶直接啟動。
此政策提供許可來建立 Amazon EventBridge 規則,特別是針對每個成員帳戶中的 Security Hub CSPM 控制項,而且這些規則必須指定確切的 EventPattern。此外,規則只能操作於由我們的服務委託人管理的規則。
**服務主體:** `controltower.amazonaws.com`
如需詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)。
此受管政策的更新摘要於 資料表[AWS Control Tower 的受管政策](managed-policies-table.md)。