本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全
<a name="security"></a>

當您在 AWS 基礎設施上建置系統時，安全責任會由您和 AWS 共同承擔。當 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施的實體安全性的元件時，此[共用模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可以減輕您的操作負擔。如需 AWS 安全性的詳細資訊，請前往 [AWS Security Center](https://aws.amazon.com/security/)。

## IAM 角色
<a name="iam-roles"></a>

此解決方案會建立 IAM 角色來控制和隔離許可，並遵循最低權限的最佳實務。解決方案會授予 服務下列許可：

## Hub 範本
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ 將許可寫入已註冊輻條帳戶的 Amazon DynamoDB 資料表

 `InvokeECSTaskRole` 
+ 建立和執行 Amazon ECS 任務的許可

 `CostOptimizerAdminRole` 
+ 對已註冊輪輻帳戶的 Amazon DynamoDB 資料表的讀取許可
+ 擔任`WorkspacesManagementRole`發言帳戶中 的角色許可
+ AWS Directory Service 的唯讀許可
+ 將許可寫入 Amazon CloudWatch Logs
+ 將許可寫入 Amazon S3
+ 讀取和寫入許可至 WorkSpaces

 `SolutionHelperRole` 
+ Permisison 調用 AWS Lambda 函數，以產生解決方案指標的通用唯一識別碼 (UUID)

## 發言範本
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ AWS Directory Service 的唯讀許可
+ 將許可寫入 Amazon CloudWatch Logs
+ 將許可寫入 Amazon S3
+ WorkSpaces 的讀取/寫入許可

 `AccountRegistrationProviderRole` 
+ 叫用 Lambda 函數以向中樞帳戶堆疊註冊輻條帳戶