Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower - AWS Control Tower
AWSRecursos e operações da Control TowerSobre a propriedade de recursosEspecifique os elementos da política: ações, efeitos e princípiosEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de permissões de acesso aos recursos da AWS Control Tower

Cada AWS o recurso é de propriedade de um Conta da AWS, e as permissões para criar ou obter acesso a um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às IAM identidades (ou seja, usuários, grupos e funções). Alguns serviços (como AWS Lambda) também oferecem suporte para anexar políticas de permissões aos recursos.

nota

Um administrador da conta (ou administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.

Quando você é responsável por conceder permissões a um usuário ou função, deve conhecer e monitorar os usuários e funções que exigem permissões, os recursos para os quais cada usuário e função exigem permissões e as ações específicas que devem ser permitidas para operar esses recursos.

Tópicos

AWSRecursos e operações da Control Tower

Na AWS Control Tower, o recurso principal é uma landing zone. AWSO Control Tower também suporta um tipo de recurso adicional, os controles, às vezes chamados de grades de proteção. No entanto, para o AWS Control Tower, você pode gerenciar controles somente no contexto de uma landing zone existente. Os controles podem ser chamados de sub-recursos.

Recursos e sub-recursos em AWS têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado no exemplo a seguir.

Tipo de recurso ARNFormato
Sistema de arquivos arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSA Control Tower fornece um conjunto de API operações para trabalhar com os recursos da AWS Control Tower. Para obter uma lista das operações disponíveis, consulte AWS Control Tower the AWS Control Tower API Reference.

Para obter mais informações sobre o AWS CloudFormation recursos no AWS Control Tower, veja o AWS CloudFormation Guia do usuário.

Sobre a propriedade de recursos

A ferramenta AWS A conta possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é o AWS conta da entidade principal (ou seja, o Conta da AWS usuário raiz, um usuário do IAM Identity Center, um IAM usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar o AWS credenciais de usuário raiz da conta do seu AWS conta para configurar uma landing zone, sua AWS a conta é a proprietária do recurso.

  • Se você criar um IAM usuário no seu AWS conta e conceda permissões para configurar uma zona de pouso para esse usuário, o usuário pode configurar uma zona de pouso, desde que sua conta atenda aos pré-requisitos. No entanto, seu AWS A conta, à qual o usuário pertence, é proprietária do recurso landing zone.

  • Se você criar uma IAM função em seu AWS conta com permissões para configurar uma zona de pouso, qualquer pessoa que possa assumir a função pode configurar uma zona de pouso. Suas AWS A conta, à qual a função pertence, é proprietária do recurso landing zone.

Especifique os elementos da política: ações, efeitos e princípios

Você pode configurar e gerenciar sua zona de pouso por meio do console AWS Control Tower ou da zona de pouso APIs. Para configurar sua landing zone, você deve ser um IAM usuário com permissões administrativas, conforme definido em uma IAM política.

Os elementos a seguir são os mais básicos que você pode identificar em uma política:

  • Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte AWSRecursos e operações da Control Tower.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Para obter informações sobre os tipos de ações disponíveis para serem executadas, consulte Ações definidas pela AWS Control Tower.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). AWSA Control Tower não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte AWS IAMReferência de política no Guia IAM do usuário.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da IAM política para especificar as condições em que uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.

Para expressar condições, você pode usar chaves de condição predefinidas. Não há chaves de condição específicas para a AWS Control Tower. No entanto, existem AWS-chaves de condição amplas que você pode usar conforme apropriado. Para obter uma lista completa de AWS-teclas largas, consulte Teclas disponíveis para ver as condições no Guia do IAM usuário.