本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 1. 建立必要的角色 開始自訂帳戶之前,您必須設定包含 AWS Control Tower 與中樞帳戶之間信任關係的角色。擔任 時,該角色會授予 AWS Control Tower 管理中樞帳戶中資源的存取權。角色必須命名為 **AWSControlTowerBlueprintAccess**。 AWS Control Tower 會擔任此角色來代表您在 中建立產品組合資源 AWS Service Catalog,然後將您的藍圖做為服務型錄產品新增至此產品組合,然後在帳戶佈建期間與成員帳戶共用此產品組合和藍圖。 您將建立`AWSControlTowerBlueprintAccess`角色,如以下各節所述。您可以在已註冊或未註冊帳戶中設定角色。 **導覽至 IAM 主控台以設定所需的角色。** **在已註冊的 AWS Control Tower 帳戶中設定 AWSControlTowerBlueprintAccess 角色** 1. 聯合或以 AWS Control Tower 管理帳戶中的委託人身分登入。 1. 從管理帳戶中的聯合委託人,擔任或切換角色到您選擇做為藍圖中樞帳戶的已註冊 AWS Control Tower 帳戶中`AWSControlTowerExecution`的角色。 1. 從已註冊 AWS Control Tower 帳戶中`AWSControlTowerExecution`的角色,建立具有適當許可和信任關係`AWSControlTowerBlueprintAccess`的角色。 **重要** 為了遵循 AWS 最佳實務指引,請務必在建立`AWSControlTowerExecution`角色後立即登出`AWSControlTowerBlueprintAccess`角色。 為避免意外變更資源,此`AWSControlTowerExecution`角色僅供 AWS Control Tower 使用。 如果您的藍圖中樞帳戶未在 AWS Control Tower 中註冊,則該`AWSControlTowerExecution`角色將不會存在於帳戶中,而且在您繼續設定角色之前,不需要擔任該`AWSControlTowerBlueprintAccess`角色。 **在未註冊的成員帳戶中設定 AWSControlTowerBlueprintAccess 角色** 1. 透過您偏好的方法,聯合或登入為您要指定為中樞帳戶之帳戶中的委託人。 1. 以帳戶中的委託人身分登入時,請建立具有適當許可和信任關係`AWSControlTowerBlueprintAccess`的角色。 必須設定 **AWSControlTowerBlueprintAccess** 角色,才能將信任授予兩個委託人: + 在 AWS Control Tower 管理帳戶中執行 AWS Control Tower 的委託人 (使用者)。 + AWS Control Tower 管理帳戶中名為 `AWSControlTowerAdmin` 的角色。 以下是信任政策範例,類似於您需要為角色包含的政策。此政策示範授予最低權限存取權的最佳實務。當您制定自己的政策時,請將該術語取代為 AWS Control Tower 管理帳戶{{YourManagementAccountId}}的實際帳戶 ID,並將該術語取代{{YourControlTowerUserRole}}為管理帳戶的 IAM 角色識別符。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **必要的許可政策** AWS Control Tower 要求名為 的受管政策`AWSServiceCatalogAdminFullAccess`必須連接到`AWSControlTowerBlueprintAccess`角色。此政策提供許可,在允許 AWS Control Tower 管理您的產品組合和 AWS Service Catalog 產品資源 AWS Service Catalog 時尋找 。您可以在 IAM 主控台中建立角色時連接此政策。 **可能需要其他許可** 如果您在 Amazon S3 中存放藍圖,AWS Control Tower 也需要該`AWSControlTowerBlueprintAccess`角色的`AmazonS3ReadOnlyAccess`許可政策。 如果您不使用預設的**管理員**政策, AWS Service Catalog Terraform 產品類型會要求您將一些額外的許可新增至 AFC 自訂 IAM 政策。除了建立您在 terraform 範本中定義的資源所需的許可之外,還需要這些許可。