本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

使用 AWS Control Tower 主控台所需的許可

當您設定登陸區域時，AWS Control Tower 會自動建立三個角色。需要這三個角色才能允許主控台存取。AWS Control Tower 將許可分割為三個角色作為最佳實務，以限制對最少動作和資源的存取。

我們建議您限制存取這些角色的角色信任政策。如需詳細資訊，請參閱角色信任關係的選用條件。

在主控台中檢視 Control Catalog

若要在 AWS Control Tower 主控台中檢視控制項資訊，您必須將其他controlcatalog許可新增至 IAM 政策。這些許可如下所示：

以下是顯示政策中已更新許可的範例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

您必須新增這些許可，因為 AWS Control Tower 會呼叫 controlcatalog APIs來擷取特定控制中繼資料，因此 AWS Control Tower 許可不足。

若要尋找如何更新許可的詳細資訊，請參閱建立角色和指派許可。

若要尋找 IAM controlcatalog 動作的詳細資訊，請參閱 Control Catalog 的動作、資源和條件索引鍵。