本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS Control Tower 主控台所需的許可
當您設定登陸區域時,AWS Control Tower 會自動建立三個角色。需要這三個角色才能允許主控台存取。AWS Control Tower 將許可分割為三個角色作為最佳實務,以限制對最少動作和資源的存取。
**登陸區域存取的三個必要角色**
+ [AWS ControlTowerAdmin 角色](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
+ [AWSControlTowerCloudTrailRole](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)
我們建議您限制存取這些角色的角色信任政策。如需詳細資訊,請參閱[角色信任關係的選用條件](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。
## 在主控台中檢視 Control Catalog
若要在 AWS Control Tower 主控台中檢視控制項資訊,您必須將其他`controlcatalog`許可新增至 IAM 政策。這些許可如下所示:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
以下是顯示政策中已更新許可的範例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
您必須新增這些許可,因為 AWS Control Tower 會呼叫 `controlcatalog` APIs來擷取特定控制中繼資料,因此 AWS Control Tower 許可不足。
若要尋找如何更新許可的詳細資訊,請參閱[建立角色和指派許可](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html)。
若要尋找 IAM `controlcatalog` 動作的詳細資訊,請參閱 [Control Catalog 的動作、資源和條件索引鍵](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html)。
**注意**
控制資訊可透過 Control [Catalog APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html)取得。