Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erforderliche Rollen Im Allgemeinen sind Rollen und Richtlinien Teil des Identitäts- und Zugriffsmanagements (IAM) in. AWS Weitere Informationen finden Sie im [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html). AFT erstellt mehrere IAM-Rollen und -Richtlinien in den AFT-Management- und AWS Control Tower Tower-Managementkonten, um den Betrieb der AFT-Pipeline zu unterstützen. Diese Rollen werden auf der Grundlage des Zugriffsmodells mit den geringsten Rechten erstellt, das die Berechtigungen auf die minimal erforderlichen Gruppen von Aktionen und Ressourcen für jede Rolle und Richtlinie beschränkt. Diesen Rollen und Richtlinien wird zur Identifizierung ein AWS `key:value` Tag-Paar zugewiesen. ` managed_by:AFT` Neben diesen IAM-Rollen schafft AFT drei wichtige Rollen: + die Rolle `AWSAFTAdmin` + die `AWSAFTExecution` Rolle + die `AWSAFTService` Rolle Diese Rollen werden in den folgenden Abschnitten erklärt. **Die AWSAFTAdmin Rolle, erklärt** Wenn Sie AFT bereitstellen, wird die `AWSAFTAdmin` Rolle im AFT-Verwaltungskonto erstellt. Diese Rolle ermöglicht es der AFT-Pipeline, die `AWSAFTExecution` Rolle in den von AWS Control Tower und von AFT bereitgestellten Konten zu übernehmen und so Aktionen im Zusammenhang mit der Kontobereitstellung und -anpassung durchzuführen. Hier ist die Inline-Richtlinie (JSON-Artefakt), die der Rolle zugeordnet ist: `AWSAFTAdmin` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ Das folgende JSON-Artefakt zeigt die Vertrauensbeziehung für die `AWSAFTAdmin` Rolle. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Die AWSAFTExecution Rolle, erklärt** Wenn Sie AFT bereitstellen, wird die `AWSAFTExecution` Rolle in den AFT-Management- und AWS Control Tower Tower-Managementkonten erstellt. Später erstellt die AFT-Pipeline die `AWSAFTExecution` Rolle in jedem von AFT bereitgestellten Konto während der Bereitstellungsphase des AFT-Kontos. AFT verwendet die `AWSControlTowerExecution` Rolle zunächst, um die `AWSAFTExecution` Rolle in bestimmten Konten zu erstellen. Die `AWSAFTExecution` Rolle ermöglicht es der AFT-Pipeline, die Schritte auszuführen, die während der Bereitstellungs- und Bereitstellungsanpassungsphasen des AFT-Frameworks für von AFT bereitgestellte Konten und für gemeinsam genutzte Konten ausgeführt werden. **Durch unterschiedliche Rollen können Sie den Umfang einschränken** Es hat sich bewährt, die Anpassungsberechtigungen von den Berechtigungen zu trennen, die bei der ersten Bereitstellung von Ressourcen gewährt wurden. Denken Sie daran, dass die `AWSAFTService` Rolle für die Kontobereitstellung und die `AWSAFTExecution` Rolle für die Kontoanpassung vorgesehen ist. Diese Trennung schränkt den Umfang der Berechtigungen ein, die in jeder Phase der Pipeline zulässig sind. Diese Unterscheidung ist besonders wichtig, wenn Sie die gemeinsamen Konten von AWS Control Tower anpassen, da die gemeinsamen Konten vertrauliche Informationen wie Rechnungsdetails oder Benutzerinformationen enthalten können. Berechtigungen für die `AWSAFTExecution` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTExecution` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt. Vertrauensrichtlinie für `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Die AWSAFTService Rolle, erklärt** Die `AWSAFTService` Rolle stellt AFT-Ressourcen für alle registrierten und verwalteten Konten bereit, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher nur von der `AWSAFTExecution` Rolle bereitgestellt. Die `AWSAFTService` Rolle ist für die Verwendung durch die Dienstinfrastruktur zur Bereitstellung von Ressourcen während der Bereitstellungsphase vorgesehen, und die `AWSAFTExecution` Rolle ist nur für die Bereitstellung von Anpassungen vorgesehen. Wenn Sie die Rollen auf diese Weise übernehmen, können Sie in jeder Phase eine detailliertere Zugriffskontrolle gewährleisten. Berechtigungen für die `AWSAFTService` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTService` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt. Vertrauensrichtlinie für `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------