Ruoli richiesti - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli richiesti

In generale, i ruoli e le politiche fanno parte della gestione delle identità e degli accessi (IAM) in AWS. Per ulteriori informazioni, consulta la AWS IAM User Guide.

AFT crea diversi ruoli e policy IAM nella gestione AFT e negli account di gestione AWS Control Tower per supportare le operazioni della pipeline AFT. Questi ruoli vengono creati sulla base del modello di accesso con privilegi minimi, che limita le autorizzazioni ai set di azioni e risorse minimamente richiesti per ogni ruolo e policy. A questi ruoli e politiche viene assegnata una key:value coppia di AWS tag, per quanto riguarda managed_by:AFT l'identificazione.

Oltre a questi ruoli IAM, AFT crea tre ruoli essenziali:

  • il AWSAFTAdmin ruolo

  • il AWSAFTExecution ruolo

  • il AWSAFTService ruolo

Questi ruoli sono spiegati nelle sezioni seguenti.

Il AWSAFTAdmin ruolo, spiegato

Quando si distribuisce AFT, il AWSAFTAdmin ruolo viene creato nell'account di gestione AFT. Questo ruolo consente alla pipeline AFT di assumere il AWSAFTExecution ruolo negli account forniti da AWS Control Tower e AFT, eseguendo quindi azioni relative al provisioning e alle personalizzazioni degli account.

Ecco la policy in linea (artefatto JSON) allegata al ruolo: AWSAFTAdmin 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

Il seguente artefatto JSON mostra la relazione di fiducia per il ruolo. AWSAFTAdmin Il numero segnaposto 012345678901 viene sostituito dal numero ID dell'account di gestione AFT.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Il AWSAFTExecution ruolo, spiegato

Quando si distribuisce AFT, il AWSAFTExecution ruolo viene creato negli account di gestione AFT e AWS Control Tower. Successivamente, la pipeline AFT crea il AWSAFTExecution ruolo in ogni account fornito da AFT durante la fase di provisioning dell'account AFT.

AFT utilizza inizialmente il AWSControlTowerExecution ruolo per creare il AWSAFTExecution ruolo in account specifici. Il AWSAFTExecution ruolo consente alla pipeline AFT di eseguire i passaggi eseguiti durante le fasi di personalizzazione del provisioning e del provisioning del framework AFT, per gli account con provisioning AFT e per gli account condivisi.

I ruoli distinti aiutano a limitare l'ambito

Come procedura ottimale, mantieni le autorizzazioni di personalizzazione separate dalle autorizzazioni consentite durante la distribuzione iniziale delle risorse. Ricorda che il AWSAFTService ruolo è destinato al provisioning degli account e il AWSAFTExecution ruolo è destinato alla personalizzazione dell'account. Questa separazione limita l'ambito delle autorizzazioni consentite durante ogni fase della pipeline. Questa distinzione è particolarmente importante se si personalizzano gli account condivisi di AWS Control Tower, poiché gli account condivisi possono contenere informazioni sensibili, come dettagli di fatturazione o informazioni sull'utente.

Autorizzazioni per il AWSAFTExecution ruolo: AdministratorAccess— una policy gestita da AWS

Il seguente artefatto JSON mostra la policy IAM (relazione di fiducia) associata al ruolo. AWSAFTExecution Il numero segnaposto 012345678901 viene sostituito dal numero ID dell'account di gestione AFT.

Politica di fiducia per AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Il AWSAFTService ruolo, spiegato

Il AWSAFTService ruolo distribuisce le risorse AFT in tutti gli account registrati e gestiti, inclusi gli account condivisi e l'account di gestione. In precedenza le risorse venivano utilizzate solo in base al ruolo. AWSAFTExecution

Il AWSAFTService ruolo è destinato all'utilizzo da parte dell'infrastruttura di servizio per distribuire risorse durante la fase di approvvigionamento e deve essere utilizzato AWSAFTExecution solo per implementare personalizzazioni. Assumendo i ruoli in questo modo, è possibile mantenere un controllo degli accessi più granulare durante ogni fase.

Autorizzazioni per il AWSAFTService ruolo: AdministratorAccess— una policy gestita da AWS

Il seguente artefatto JSON mostra la policy IAM (relazione di fiducia) associata al ruolo. AWSAFTService Il numero segnaposto 012345678901 viene sostituito dal numero ID dell'account di gestione AFT.

Politica di fiducia per AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}