As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower
Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou obter acesso a um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Alguns serviços (como AWS Lambda) também oferecem suporte à anexação de políticas de permissões aos recursos.
nota
Um administrador da conta (ou administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.
Quando você é responsável por conceder permissões a um usuário ou perfil, deve conhecer e monitorar os usuários e perfis que exigem permissões, os recursos para os quais cada usuário e perfil exigem permissões e as ações específicas que devem ser permitidas para operar esses recursos.
Tópicos
AWSRecursos e operações da Control Tower
No AWS Control Tower, o recurso principal é uma landing zone. AWS O Control Tower também suporta um tipo de recurso adicional, os controles, às vezes chamados de grades de proteção. No entanto, para o AWS Control Tower, você pode gerenciar controles somente no contexto de uma landing zone existente. Os controles podem ser chamados de sub-recursos.
Os recursos e sub-recursos em AWS têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado no exemplo a seguir.
| Tipo de recurso | ARNFormato |
|---|---|
| Sistema de arquivos | arn:aws:elasticfilesystem: |
AWSA Control Tower fornece um conjunto de API operações para trabalhar com os recursos da AWS Control Tower. Para obter uma lista das operações disponíveis, consulte AWS Control Tower the AWS Control Tower API Reference.
Para obter mais informações sobre os AWS CloudFormation recursos no AWS Control Tower, consulte o Guia AWS CloudFormation do usuário.
Sobre o proprietário dos recursos
A AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, o usuário Conta da AWS raiz, um usuário do IAM Identity Center, um IAM usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
-
Se você usar as AWS credenciais de usuário raiz da sua AWS conta para configurar uma landing zone, sua AWS conta é a proprietária do recurso.
-
Se você criar um IAM usuário em sua AWS conta e conceder permissões para configurar uma landing zone para esse usuário, o usuário poderá configurar uma landing zone, desde que a conta atenda aos pré-requisitos. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso landing zone.
-
Se você criar uma IAM função na sua AWS conta com permissões para configurar uma landing zone, qualquer pessoa que possa assumir a função poderá configurar uma landing zone. A sua conta da AWS à qual o perfil pertence é proprietária do recurso da zona de pouso.
Especificar elementos da política: ações, efeitos e entidades principais
Você pode configurar e gerenciar sua zona de pouso por meio do console AWS Control Tower ou da zona de pouso APIs. Para configurar sua landing zone, você deve ser um IAM usuário com permissões administrativas, conforme definido em uma IAM política.
Estes elementos são os mais básicos que você pode identificar em uma política:
-
Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte AWSRecursos e operações da Control Tower.
-
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Para obter informações sobre os tipos de ações disponíveis para serem executadas, consulte Ações definidas pela AWS Control Tower.
-
Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
-
Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). AWS A Control Tower não oferece suporte a políticas baseadas em recursos.
Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.
Especificar condições em uma política
Ao conceder permissões, é possível usar a linguagem de política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.
Para expressar condições, você pode usar chaves de condição predefinidas. Não há chaves de condição específicas para a AWS Control Tower. No entanto, existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves amplas, consulte Chaves disponíveis para condições no Guia do IAM usuário.
