翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower コンソールを使用するために必要なアクセス許可
<a name="additional-console-required-permissions"></a>

AWS Control Tower は、ランディングゾーンを設定するときに、3 つのロールを自動的に作成します。コンソールアクセスを許可するには、3 つのロールすべてが必要です。AWS Control Tower では、アクションおよびリソースの最小セットへのアクセスを制限するためのベストプラクティスとして、アクセス許可が 3 つのロールに分割されます。

**ランディングゾーンのアクセスに必要な 3 つのロール**
+ [AWS Control Tower 管理者ロール](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
+ [AWSControlTowerCloudTrailRole](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)

これらのロールのロール信頼ポリシーへのアクセスを制限することをお勧めします。詳細については、「[Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)」を参照してください。

## コンソールで Control Catalog を表示する
<a name="view-control-catalog-in-console"></a>

AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーに `controlcatalog` のアクセス許可を追加する必要があります。これらのアクセス許可は次のとおりです。
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`

ポリシーで更新されたアクセス許可の例を次に示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

AWS Control Tower は `controlcatalog` API を呼び出して特定のコントロールメタデータを取得するため、これらのアクセス許可を追加する必要があり、AWS Control Tower のアクセス許可では不十分です。

アクセス許可を更新する方法の詳細については、「[ロールを作成して、アクセス許可を割り当てる](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html)」を参照してください。

`controlcatalog` IAM アクションの詳細については、「[AWS Control Catalog のアクション、リソース、および条件キー](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html)」を参照してください。

**注記**  
コントロール情報は、[Control Catalog API](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html) を介して利用できます。