必要角色 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要角色

一般而言,角色和政策是中身分識別與存取管理 (IAM) 的一部分 AWS。如需詳細資訊,請參閱 AWS IAM 使用者指南

AFT 會在 AFT 管理和 AWS Control Tower 管理帳戶中建立多個 IAM 角色和政策,以支援 AFT 管道的操作。這些角色是根據最低權限存取模型建立的,該模型會限制每個角色和原則的最低需要動作和資源集的權限。這些角色和策略被分配一個 AWS 標籤key:value配對,作 managed_by:AFT為識別。

除了這些 IAM 角色之外,AFT 還建立了三個基本角色:

  • AWSAFTAdmin角色

  • AWSAFTExecution角色

  • AWSAFTService角色

這些角色將在以下各節中說明。

AWSAFTAdmin 角色,解釋

部署 AFT 時,會在 AFT 管理帳戶中建立AWSAFTAdmin角色。此角色允許 AFT 管道擔任 AWS Control Tower 和 AFT 佈建帳戶中的AWSAFTExecution角色,從而執行與帳戶佈建和自訂相關的動作。

以下是附加至AWSAFTAdmin角色的內嵌政策 (JSON 成品):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::*:role/AWSAFTExecution",
                "arn:aws:iam::*:role/AWSAFTService"
            ]
        }
    ]
}

下列 JSON 成品會顯示AWSAFTAdmin角色的信任關係。預留位置編號012345678901由 AFT 管理帳戶 ID 號碼取代。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTExecution 角色,解釋

部署 AFT 時,會在 AFT 管理和 AWS Control Tower 管理帳戶中建立AWSAFTExecution角色。稍後,AFT 管線會在 AFT 帳戶佈建階段期間,在每個 AFT 佈建的帳戶中建立AWSAFTExecution角色。

AFT 一開始會利用AWSControlTowerExecution角色,在指定的帳戶中建立AWSAFTExecution角色。此AWSAFTExecution角色可讓 AFT 管線執行在 AFT 架構佈建和佈建自訂階段、AFT 佈建帳戶和共用帳戶期間執行的步驟。

不同的角色可協助您限制範圍

最佳做法是將自訂權限與初始部署資源期間允許的權限分開。請記住,該AWSAFTService角色是用於帳戶佈建,而該AWSAFTExecution角色是用於帳戶自訂。此分隔會限制管線每個階段所允許的權限範圍。如果您要自訂 AWS Control Tower 共用帳戶,此區別特別重要,因為共用帳戶可能包含敏感資訊,例如帳單詳細資訊或使用者資訊。

AWSAFTExecution角色許可:AdministratorAccess— AWS 受管政策

下列 JSON 成品顯示附加至該AWSAFTExecution角色的 IAM 政策 (信任關係)。預留位置編號012345678901由 AFT 管理帳戶 ID 號碼取代。

信任政策 AWSAFTExecution

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWSAFTService 角色,解釋

AWSAFTService角色會在所有已註冊和受管理的帳戶 (包括共用帳戶和管理帳戶) 中部署 AFT 資源。資源先前僅由AWSAFTExecution角色部署。

AWSAFTService角色適用於服務基礎結構,以在佈建階段部署資源,而AWSAFTExecution角色僅用於部署自訂項目。通過以這種方式假設角色,您可以在每個階段保持更精細的訪問控制。

AWSAFTService角色許可:AdministratorAccess— AWS 受管政策

下列 JSON 成品顯示附加至該AWSAFTService角色的 IAM 政策 (信任關係)。預留位置編號012345678901由 AFT 管理帳戶 ID 號碼取代。

信任政策 AWSAFTService

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}