Rôles obligatoires - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles obligatoires

En général, les rôles et les politiques font partie de la gestion des identités et des accès (IAM) dans AWS. Reportez-vous au guide de l'utilisateurAWS IAM pour plus d'informations.

AFT crée plusieurs rôles et politiques IAM dans les comptes de gestion AFT et de gestion AWS Control Tower afin de soutenir les opérations du pipeline AFT. Ces rôles sont créés sur la base du modèle d'accès avec le moindre privilège, qui limite les autorisations aux ensembles d'actions et de ressources minimalement requis pour chaque rôle et chaque politique. Ces rôles et politiques se voient attribuer une key:value paire de AWS balises, comme managed_by:AFT pour l'identification.

Outre ces rôles IAM, l'AFT crée trois rôles essentiels :

  • le AWSAFTAdmin rôle

  • le AWSAFTExecution rôle

  • le AWSAFTService rôle

Ces rôles sont expliqués dans les sections suivantes.

Le AWSAFTAdmin rôle, expliqué

Lorsque vous déployez AFT, le AWSAFTAdmin rôle est créé dans le compte de gestion AFT. Ce rôle permet au pipeline AFT d'assumer le AWSAFTExecution rôle dans les comptes provisionnés par AWS Control Tower et AFT, afin d'effectuer des actions liées au provisionnement et à la personnalisation des comptes.

Voici la politique intégrée (artefact JSON) attachée au AWSAFTAdmin rôle : 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

L'artefact JSON suivant montre la relation de confiance associée au AWSAFTAdmin rôle. Le numéro d'espace réservé 012345678901 est remplacé par le numéro d'identification du compte de gestion AFT.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Le AWSAFTExecution rôle, expliqué

Lorsque vous déployez AFT, le AWSAFTExecution rôle est créé dans les comptes de gestion AFT et de gestion AWS Control Tower. Plus tard, le pipeline AFT crée le AWSAFTExecution rôle dans chaque compte provisionné AFT pendant la phase de provisionnement du compte AFT.

AFT utilise le AWSControlTowerExecution rôle dans un premier temps, pour le AWSAFTExecution créer dans des comptes spécifiés. Le AWSAFTExecution rôle permet au pipeline AFT d'exécuter les étapes effectuées lors des étapes de provisionnement et de personnalisation du provisionnement du framework AFT, pour les comptes provisionnés AFT et pour les comptes partagés.

Des rôles distincts vous aident à limiter la portée

Il est recommandé de séparer les autorisations de personnalisation de celles autorisées lors du déploiement initial des ressources. N'oubliez pas que le AWSAFTService rôle est destiné au provisionnement du compte et qu'il est destiné à la AWSAFTExecution personnalisation du compte. Cette séparation limite l'étendue des autorisations autorisées au cours de chaque phase du pipeline. Cette distinction est particulièrement importante si vous personnalisez les comptes partagés AWS Control Tower, car ceux-ci peuvent contenir des informations sensibles, telles que des informations de facturation ou des informations utilisateur.

Autorisations pour AWSAFTExecution le rôle : AdministratorAccess— une politique gérée par AWS

L'artefact JSON suivant montre la politique IAM (relation de confiance) attachée au AWSAFTExecution rôle. Le numéro d'espace réservé 012345678901 est remplacé par le numéro d'identification du compte de gestion AFT.

Politique de confiance pour AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Le AWSAFTService rôle, expliqué

Le AWSAFTService rôle déploie les ressources AFT dans tous les comptes inscrits et gérés, y compris les comptes partagés et le compte de gestion. Auparavant, les ressources étaient déployées uniquement par le AWSAFTExecution rôle.

Le AWSAFTService rôle est destiné à être utilisé par l'infrastructure de service pour déployer des ressources pendant la phase de provisionnement, et le AWSAFTExecution rôle est destiné à être utilisé uniquement pour déployer des personnalisations. En assumant les rôles de cette manière, vous pouvez maintenir un contrôle d'accès plus précis à chaque étape.

Autorisations pour AWSAFTService le rôle : AdministratorAccess— une politique gérée par AWS

L'artefact JSON suivant montre la politique IAM (relation de confiance) attachée au AWSAFTService rôle. Le numéro d'espace réservé 012345678901 est remplacé par le numéro d'identification du compte de gestion AFT.

Politique de confiance pour AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}