Come funziona AWS Control Tower con i ruoli per creare e gestire gli account - AWS Control Tower
Ruoli e creazione di accountCome si aggrega AWS Control Tower AWS Config regole negli account non gestiti OUsRuoli programmatici e relazioni di fiducia per l'account di audit AWS Control TowerFornitura automatica degli account con ruoli IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona AWS Control Tower con i ruoli per creare e gestire gli account

In generale, i ruoli fanno parte della gestione delle identità e degli accessi (IAM) in AWS. Per informazioni generali IAM e ruoli in AWS, consulta l'argomento sui IAM ruoli nel AWS IAMGuida per l'utente di .

Ruoli e creazione di account

AWSControl Tower crea l'account di un cliente chiamando CreateAccount API il AWS Organizations. Quando AWS Organizations crea questo account, crea un ruolo all'interno di quell'account, che AWS Control Tower nomina passando un parametro aAPI. Il nome del ruolo è AWSControlTowerExecution.

AWSControl Tower assume il AWSControlTowerExecution ruolo di tutti gli account creati da Account Factory. Utilizzando questo ruolo, AWS Control Tower definisce le baseline dell'account e applica i controlli obbligatori (e tutti gli altri abilitati), il che comporta la creazione di altri ruoli. Questi ruoli a loro volta vengono utilizzati da altri servizi, come AWS Config.

Nota

Per basare un account è necessario impostare le sue risorse, che includono i modelli di Account Factory, a volte denominati blueprint, e i controlli. Il processo di baselining imposta anche i ruoli centralizzati di registrazione e controllo di sicurezza sull'account, come parte della distribuzione dei modelli. AWSLe linee di base di Control Tower sono contenute nei ruoli che applichi a ogni account registrato.

Per ulteriori informazioni sugli account e sulle risorse, consulta. Informazioni su Account AWS in AWS Control Tower

Come si aggrega AWS Control Tower AWS Config regole negli account non gestiti OUs

L'account di gestione AWS Control Tower crea un aggregatore a livello di organizzazione, che aiuta a rilevare elementi esterni AWS Config regole, in modo che AWS Control Tower non debba accedere agli account non gestiti. La console AWS Control Tower mostra quante sono state create esternamente AWS Config regole che hai per un determinato account. È possibile visualizzare i dettagli su tali regole esterne nella scheda External Config Rule Compliance della pagina dei dettagli dell'account.

Per creare l'aggregatore, AWS Control Tower aggiunge un ruolo con le autorizzazioni necessarie per descrivere un'organizzazione ed elencare gli account al suo interno. Il AWSControlTowerConfigAggregatorRoleForOrganizations ruolo richiede la politica AWSConfigRoleForOrganizations gestita e una relazione di fiducia con. config.amazonaws.com

Ecco la IAM politica (JSONartefatto) allegata al ruolo:

{
    "Version": "2012-10-17",
      "Statement": [
       {
        "Effect": "Allow",
        "Action": [
          "organizations:ListAccounts",
          "organizations:DescribeOrganization",
          "organizations:ListAWSServiceAccessForOrganization"
         ],
       "Resource": "*"
      }
    ]
  }

Ecco la relazione di AWSControlTowerConfigAggregatorRoleForOrganizations fiducia:

{
    "Version": "2012-10-17",
      "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
        "Service": "config.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
}

Per distribuire questa funzionalità nell'account di gestione, vengono aggiunte le seguenti autorizzazioni nella politica gestitaAWSControlTowerServiceRolePolicy, utilizzata dal AWSControlTowerAdmin ruolo quando crea il AWS Config aggregatore:

{
  "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "config:PutConfigurationAggregator",
          "config:DeleteConfigurationAggregator",
          "iam:PassRole"
          ],
        "Resource": [
          "arn:aws:iam:::role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations",
          "arn:aws:config:::config-aggregator/"
          ]
        },
      {
        "Effect": "Allow",
        "Action": "organizations:EnableAWSServiceAccess",
        "Resource": "*"
      }
    ]
}

Nuove risorse create: AWSControlTowerConfigAggregatorRoleForOrganizations e aws-controltower-ConfigAggregatorForOrganizations

Quando sei pronto, puoi registrare gli account singolarmente o registrarli come gruppo registrando un'unità organizzativa. Quando hai registrato un account, se crei una regola in AWS Config, AWS Control Tower rileva la nuova regola. L'aggregatore mostra il numero di regole esterne e fornisce un collegamento a AWS Config console in cui è possibile visualizzare i dettagli di ogni regola esterna per l'account. Utilizza le informazioni contenute nel AWS Config console e la console AWS Control Tower per determinare se sono abilitati i controlli appropriati per l'account.

Ruoli programmatici e relazioni di fiducia per l'account di audit AWS Control Tower

Puoi accedere all'account di controllo e assumere il ruolo di esaminare gli altri account in modo programmatico. L'account di audit non consente di accedere manualmente ad altri account.

L'account di controllo consente l'accesso programmatico ad altri account, tramite alcuni ruoli concessi a AWS Solo funzioni Lambda. Per motivi di sicurezza, questi ruoli hanno relazioni di fiducia con altri ruoli, il che significa che le condizioni in base alle quali i ruoli possono essere utilizzati sono rigorosamente definite.

Lo stack AWS Control Tower StackSet-AWSControlTowerBP-BASELINE-ROLES crea questi IAM ruoli esclusivamente programmatici e interaccount nell'account di audit:

  • aws-controltower- AdministratorExecutionRole

  • aws-controltower- ReadOnlyExecutionRole

Lo stack AWS Control Tower StackSet-AWSControlTowerSecurityResources crea questi IAM ruoli esclusivamente programmatici e interaccount nell'account di audit:

  • aws-controltower- AuditAdministratorRole

  • aws-controltower- AuditReadOnlyRole

ReadOnlyExecutionRole:Tieni presente che questo ruolo consente all'account di controllo di leggere gli oggetti nei bucket Amazon S3 in tutta l'organizzazione (a differenza della SecurityAudit policy, che consente solo l'accesso ai metadati).

aws-controltower-: AdministratorExecutionRole

  • Dispone delle autorizzazioni di amministratore

  • Non può essere assunto dalla console

  • Può essere assunto solo da un ruolo nell'account di controllo: il aws-controltower-AuditAdministratorRole

Il seguente artefatto mostra la relazione di fiducia per. aws-controltower-AdministratorExecutionRole Il numero segnaposto 012345678901 verrà sostituito dal Audit_acct_ID numero del tuo account di verifica.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditAdministratorRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
aws-controltower-: AuditAdministratorRole

  • Può essere assunto da AWS Solo servizio Lambda

  • È autorizzato a eseguire operazioni di lettura (Get) e scrittura (Put) su oggetti Amazon S3 con nomi che iniziano con la stringa log

Politiche allegate:

1. AWSLambdaExecute— AWS policy gestita

2. AssumeRole-aws-controltower- AuditAdministratorRole — politica in linea — Creato da Control TowerAWS, segue l'artefatto.

{
  "Version": "2012-10-17",
  "Statement": [
	{
	"Action": [
		 "sts:AssumeRole"
		 ],
	"Resource": [
		 "arn:aws:iam::*:role/aws-controltower-AdministratorExecutionRole"
		 ],
	"Effect": "Allow"
	}
   ]
}

Il seguente artefatto mostra la relazione di fiducia per: aws-controltower-AuditAdministratorRole

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
aws-controltower-: ReadOnlyExecutionRole

  • Non può essere assunto dalla console

  • Può essere assunto solo da un altro ruolo nell'account di controllo: il AuditReadOnlyRole

Il seguente artefatto mostra la relazione di fiducia per. aws-controltower-ReadOnlyExecutionRole Il numero segnaposto 012345678901 verrà sostituito dal Audit_acct_ID numero del tuo account di verifica.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditReadOnlyRole "
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
aws-controltower-: AuditReadOnlyRole

  • Può essere assunto da AWS Solo servizio Lambda

  • È autorizzato a eseguire operazioni di lettura (Get) e scrittura (Put) su oggetti Amazon S3 con nomi che iniziano con la stringa log

Politiche allegate:

1. AWSLambdaExecute— AWS policy gestita

2. AssumeRole-aws-controltower- AuditReadOnlyRole — politica in linea — Creato da Control TowerAWS, segue l'artefatto.

{
  "Version": "2012-10-17",
  "Statement": [
	{
	"Action": [
		"sts:AssumeRole"
	],
	"Resource": [
		"arn:aws:iam::*:role/aws-controltower-ReadOnlyExecutionRole"
	],
	"Effect": "Allow"
   }
  ]
}

Il seguente artefatto mostra la relazione di fiducia per: aws-controltower-AuditAdministratorRole

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Fornitura automatica degli account con ruoli IAM

Per configurare gli account Account Factory in modo più automatizzato, puoi creare funzioni Lambda nell'account di gestione AWS Control Tower, che assume il AWSControlTowerExecutionruolo nell'account membro. Quindi, utilizzando il ruolo, l'account di gestione esegue i passaggi di configurazione desiderati in ciascun account membro.

Se esegui il provisioning degli account utilizzando le funzioni Lambda, l'identità che eseguirà questo lavoro deve avere la IAM seguente politica di autorizzazioni, oltre a. AWSServiceCatalogEndUserFullAccess

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSControlTowerAccountFactoryAccess",
            "Effect": "Allow",
            "Action": [
                "sso:GetProfile",
                "sso:CreateProfile",
                "sso:UpdateProfile",
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:CreateTrust",
                "sso:UpdateTrust",
                "sso:GetPeregrineStatus",
                "sso:GetApplicationInstance",
                "sso:ListDirectoryAssociations",
                "sso:ListPermissionSets",
                "sso:GetPermissionSet",
                "sso:ProvisionApplicationInstanceForAWSAccount",
                "sso:ProvisionApplicationProfileForAWSAccountInstance",
                "sso:ProvisionSAMLProvider",
                "sso:ListProfileAssociations",
                "sso-directory:ListMembersInGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchGroupsWithGroupName",
                "sso-directory:SearchUsers",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeDirectory",
                "sso-directory:GetUserPoolInfo",
                "controltower:CreateManagedAccount",
                "controltower:DescribeManagedAccount",
                "controltower:DeregisterManagedAccount",
                "s3:GetObject",
                "organizations:describeOrganization",
                "sso:DescribeRegisteredRegions"
            ],
            "Resource": "*"
        }
    ]
}

Le autorizzazionisso:GetPeregrineStatus, sso:ProvisionApplicationInstanceForAWSAccountsso:ProvisionApplicationProfileForAWSAccountInstance, e sso:ProvisionSAMLProvide sono richieste da AWS Control Tower Account Factory per interagire con AWS IAMIdentity Center.