Peran yang dibutuhkan - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran yang dibutuhkan

Secara umum, peran dan kebijakan merupakan bagian dari manajemen identitas dan akses (IAM) di AWS. Lihat Panduan PenggunaAWS IAM untuk informasi lebih lanjut.

AFT membuat beberapa peran dan kebijakan IAM dalam manajemen AFT dan akun manajemen AWS Control Tower untuk mendukung pengoperasian pipeline AFT. Peran ini dibuat berdasarkan model akses hak istimewa terkecil, yang membatasi izin untuk kumpulan tindakan dan sumber daya minimal yang diperlukan untuk setiap peran dan kebijakan. Peran dan kebijakan ini diberikan key:value pasangan AWS tag, seperti managed_by:AFT untuk identifikasi.

Selain peran IAM ini, AFT menciptakan tiga peran penting:

  • AWSAFTAdminperan

  • AWSAFTExecutionperan

  • AWSAFTServiceperan

Peran ini dijelaskan di bagian berikut.

AWSAFTAdmin Peran tersebut, dijelaskan

Saat Anda menerapkan AFT, AWSAFTAdmin peran dibuat di akun manajemen AFT. Peran ini memungkinkan pipeline AFT untuk mengambil AWSAFTExecution peran dalam AWS Control Tower dan akun yang disediakan AFT, sehingga dapat melakukan tindakan yang terkait dengan penyediaan dan penyesuaian akun.

Berikut adalah kebijakan inline (artefak JSON) yang dilampirkan pada peran: AWSAFTAdmin 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

Artefak JSON berikut menunjukkan hubungan kepercayaan untuk peran tersebut. AWSAFTAdmin Nomor placeholder diganti dengan nomor 012345678901 ID akun manajemen AFT.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTExecution Peran tersebut, dijelaskan

Saat Anda menerapkan AFT, AWSAFTExecution peran tersebut dibuat di manajemen AFT dan akun manajemen AWS Control Tower. Kemudian, pipeline AFT menciptakan AWSAFTExecution peran di setiap akun yang disediakan AFT selama tahap penyediaan akun AFT.

AFT menggunakan AWSControlTowerExecution peran awalnya, untuk membuat AWSAFTExecution peran dalam akun tertentu. AWSAFTExecutionPeran ini memungkinkan pipeline AFT untuk menjalankan langkah-langkah yang dilakukan selama tahap penyediaan dan penyediaan kerangka kerja AFT, untuk akun yang disediakan AFT dan untuk akun bersama.

Peran yang berbeda membantu Anda membatasi ruang lingkup

Sebagai praktik terbaik, pisahkan izin penyesuaian dari izin yang diizinkan selama penerapan awal sumber daya Anda. Ingatlah bahwa AWSAFTService peran tersebut dimaksudkan untuk penyediaan akun, dan AWSAFTExecution peran tersebut ditujukan untuk penyesuaian akun. Pemisahan ini membatasi ruang lingkup izin yang diizinkan selama setiap fase pipa. Perbedaan ini sangat penting jika Anda menyesuaikan akun bersama AWS Control Tower, karena akun bersama mungkin berisi informasi sensitif, seperti detail penagihan atau informasi pengguna.

Izin untuk AWSAFTExecution peran: AdministratorAccess— kebijakan yang dikelola AWS

Artefak JSON berikut menunjukkan kebijakan IAM (hubungan kepercayaan) yang melekat pada peran tersebut. AWSAFTExecution Nomor placeholder diganti dengan nomor 012345678901 ID akun manajemen AFT.

Kebijakan kepercayaan untuk AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTService Peran tersebut, dijelaskan

AWSAFTServicePeran ini menyebarkan sumber daya AFT di semua akun yang terdaftar dan dikelola, termasuk akun bersama dan akun manajemen. Sumber daya sebelumnya hanya digunakan oleh peran tersebut. AWSAFTExecution

AWSAFTServicePeran ini dimaksudkan untuk digunakan oleh infrastruktur layanan untuk menyebarkan sumber daya selama tahap penyediaan, dan AWSAFTExecution peran tersebut dimaksudkan untuk digunakan hanya untuk menerapkan penyesuaian. Dengan mengasumsikan peran dengan cara ini, Anda dapat mempertahankan kontrol akses yang lebih terperinci selama setiap tahap.

Izin untuk AWSAFTService peran: AdministratorAccess— kebijakan yang dikelola AWS

Artefak JSON berikut menunjukkan kebijakan IAM (hubungan kepercayaan) yang melekat pada peran tersebut. AWSAFTService Nomor placeholder diganti dengan nomor 012345678901 ID akun manajemen AFT.

Kebijakan kepercayaan untuk AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}