使用 AWS Control Tower 的身分型政策 (IAM 政策) - AWS Control Tower
AWS ControlTowerAdmin 角色AWS ControlTowerServiceRolePolicyAWS ControlTowerStackSetRoleAWS ControlTowerCloudTrailRoleAWSControlTowerBlueprintAccess 角色需求AWSServiceRoleForAWSControlTowerAWSControlTowerAccountServiceRolePolicy

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Control Tower 的身分型政策 (IAM 政策)

本主題提供以身分為基礎的政策範例,示範帳戶管理員如何將許可政策連接至身分 IAM (即使用者、群組和角色),進而授予許可,以在 AWS Control Tower 資源上執行操作。

重要

我們建議您先檢閱簡介主題,這些主題說明了可用於管理 AWS Control Tower 資源存取權的基本概念和選項。如需詳細資訊,請參閱管理 AWS Control Tower 資源存取許可的概觀

AWS ControlTowerAdmin 角色

此角色可讓 AWS Control Tower 存取對維護登陸區域至關重要的基礎設施。AWS ControlTowerAdmin 角色需要附加的 受管政策和角色的 IAM 角色信任政策。角色信任政策是以資源為基礎的政策,指定哪些主體可以擔任該角色。

以下是此角色信任政策的範例程式碼片段:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

若要從 建立此角色 AWS CLI,並將其放入名為 的檔案trust.json,以下是範例CLI命令:

aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json

此角色需要兩個IAM政策。

  1. 內嵌政策,例如:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*"
        }
    ]
}

  2. 之後的受管政策,即 AWS ControlTowerServiceRolePolicy

AWS ControlTowerServiceRolePolicy

AWS ControlTowerServiceRolePolicy 是受 AWS管政策,定義建立和管理 AWS Control Tower 資源的許可,例如 AWS CloudFormation 堆疊集和堆疊執行個體、 AWS CloudTrail 日誌檔案、AWSControl Tower 的組態彙總器,以及受 AWS Control Tower 管理 AWS Organizations 的帳戶和組織單位 (OUs)。

此受管政策的更新摘要於 資料表 。 AWS Control Tower 的受管政策

如需詳細資訊,請參閱 AWS受管政策參考指南AWSControlTowerServiceRolePolicy中的 。

角色信任政策:

{
    "Version": "2012-10-17",
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

內嵌政策為 AWSControlTowerAdminPolicy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

AWS ControlTowerStackSetRole

AWS CloudFormation 會擔任此角色,在 AWS Control Tower 建立的帳戶中部署堆疊集。內嵌政策 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}

信任政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS ControlTowerCloudTrailRole

AWS Control Tower 會啟用 CloudTrail 做為最佳實務,並提供此角色給 CloudTrail。 CloudTrail 擔任此角色以建立和發佈 CloudTrail 日誌。內嵌政策 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}

信任政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWSControlTowerBlueprintAccess 角色需求

AWS Control Tower 會要求您在指定的藍圖中樞帳戶中建立AWSControlTowerBlueprintAccess角色,位於相同的組織中。

Role name (角色名稱)

角色名稱必須是 AWSControlTowerBlueprintAccess

角色信任政策

必須設定 角色才能信任下列委託人:

  • 在 管理帳戶中使用 AWS Control Tower 的委託人。

  • 管理帳戶中AWSControlTowerAdmin的角色。

下列範例顯示最低權限的信任政策。當您制定自己的政策時,請將術語取代YourManagementAccountId為 AWS Control Tower 管理帳戶的實際帳戶 ID,並將術語取代YourControlTowerUserRole為管理帳戶IAM的角色識別符。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::YourManagementAccountId:role/service-role/AWSControlTowerAdmin", 
                    "arn:aws:iam::YourManagementAccountId:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

角色許可

您必須將 受管政策連接至AWSServiceCatalogAdminFullAccess角色。

AWSServiceRoleForAWSControlTower

此角色可讓 AWS Control Tower 存取 Log Archive 帳戶、稽核帳戶和成員帳戶,以用於維護登陸區域的重要操作,例如通知您資源漂移。

AWSServiceRoleForAWSControlTower 角色需要附加的 受管政策和角色的 IAM 角色信任政策。

此角色的受管政策: AWSControlTowerAccountServiceRolePolicy

角色信任政策:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWSControlTowerAccountServiceRolePolicy

此 AWS受管政策允許 AWS Control Tower 代您呼叫提供自動化帳戶組態和集中管理 AWS 的服務。

政策包含 AWS Control Tower 的最低許可,以針對 Security Hub 控制項管理的資源實作 AWS Security Hub 調查結果轉送,這些資源屬於 Security Hub Service 受管標準:AWSControl Tower,並可防止限制管理客戶帳戶能力的變更。這是背景 AWS Security Hub 偏離偵測程序的一部分,並非由客戶直接啟動。

此政策提供許可,以在每個成員帳戶中建立 Amazon EventBridge 規則,特別是針對 Security Hub 控制項,且這些規則必須指定確切的 EventPattern。此外,規則只能根據由我們的服務委託人管理的規則運作。

服務主體: controltower.amazonaws.com

如需詳細資訊,請參閱 AWS 受管政策參考指南AWSControlTowerAccountServiceRolePolicy中的 。

此受管政策的更新摘要於 資料表 。 AWS Control Tower 的受管政策