Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# So funktioniert AWS Control Tower mit Rollen zur Erstellung und Verwaltung von Konten
<a name="roles-how"></a>

Im Allgemeinen sind Rollen Teil des Identitäts- und Zugriffsmanagements (IAM) in AWS. Allgemeine Informationen zu IAM und Rollen in AWS finden Sie unter [dem Thema IAM-Rollen im *AWS IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

## Rollen und Kontoerstellung
<a name="roles-and-account-creation"></a>

AWS Control Tower erstellt ein Kundenkonto, indem es die `CreateAccount` API von aufruft AWS Organizations. Bei AWS Organizations der Erstellung dieses Kontos wird eine Rolle innerhalb dieses Kontos erstellt, die AWS Control Tower benennt, indem ein Parameter an die API übergeben wird. Der Name der Rolle lautet `AWSControlTowerExecution`.

AWS Control Tower übernimmt die `AWSControlTowerExecution` Rolle für alle Konten, die von Account Factory erstellt wurden. Mithilfe dieser Rolle erstellt AWS Control Tower ein *Baselining für* das Konto und wendet obligatorische (und alle anderen aktivierten) Kontrollen an, was zur Erstellung weiterer Rollen führt. Diese Rollen werden wiederum von anderen Diensten verwendet, wie z. AWS Config

**Anmerkung**  
Um ein Konto als *Baseline* zu definieren, müssen die zugehörigen Ressourcen eingerichtet werden. Dazu gehören [Account Factory Factory-Vorlagen](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-considerations.html), die manchmal auch als *Blueprints* bezeichnet werden, und Kontrollen. Im Rahmen des Baselining-Prozesses werden im Rahmen der Bereitstellung der Vorlagen auch die zentralen Rollen für die Protokollierung und die Sicherheitsüberprüfung für das Konto eingerichtet. Die AWS Control Tower Tower-Baselines sind in den Rollen enthalten, die Sie für jedes registrierte Konto anwenden.

Weitere Informationen zu Konten und Ressourcen finden Sie unter. [Informationen AWS-Konten im AWS Control Tower](accounts.md)

## So aggregiert AWS Control Tower AWS Config Regeln für nicht verwaltete Konten OUs
<a name="config-role-for-organizations"></a>
+  Das AWS Control Tower-Verwaltungskonto erstellt einen Aggregator auf Organisationsebene, der bei der Erkennung externer AWS Config Regeln hilft, sodass AWS Control Tower keinen Zugriff auf nicht verwaltete Konten erhalten muss. Die AWS Control Tower Tower-Konsole zeigt Ihnen, wie viele extern erstellte AWS Config Regeln Sie für ein bestimmtes Konto haben. Sie können Details zu diesen externen Regeln auf der Registerkarte **Einhaltung externer Konfigurationsregeln** auf der Seite mit den **Kontodetails** anzeigen. 
+  Um den Aggregator zu erstellen, fügt AWS Control Tower eine Rolle mit den erforderlichen Berechtigungen hinzu, um eine Organisation zu beschreiben und die ihr untergeordneten Konten aufzulisten. Die `AWSControlTowerConfigAggregatorRoleForOrganizations` Rolle erfordert die `AWSConfigRoleForOrganizations` verwaltete Richtlinie und eine Vertrauensbeziehung mit`config.amazonaws.com`. 

**Anmerkung**  
 *Kunden, die landing zone Version 4.0 verwenden, benötigen diese Rolle nicht, da AWS Control Tower vom bestehenden Konfigurationsaggregator auf Organisationsebene auf den serviceverknüpften Konfigurationsaggregator migriert ist* 

**Anmerkung**  
 Wenn Sie vertrauenswürdigen Zugriff für die Organisation aktivieren, die Ihre landing zone enthält, kann AWS Control Tower Rollen erstellen, Ressourcen verwalten und Daten für alle Konten in der Organisation lesen. Durch vertrauenswürdigen Zugriff steht AWS Control Tower jedes Konto oder jede Organisationseinheit in der Organisation zur Verfügung, unabhängig davon, ob es registriert und registriert oder *nicht registriert und *nicht** registriert ist. 

Hier ist die IAM-Richtlinie (JSON-Artefakt), die der Rolle zugeordnet ist:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
      "Statement": [
       {
        "Effect": "Allow",
        "Action": [
          "organizations:ListAccounts",
          "organizations:DescribeOrganization",
          "organizations:ListAWSServiceAccessForOrganization"
         ],
       "Resource": "*"
      }
    ]
  }
```

------

Hier ist die `AWSControlTowerConfigAggregatorRoleForOrganizations` Vertrauensbeziehung:

```
{
    "Version": "2012-10-17",		 	 	 
      "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
        "Service": "config.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
}
```

Um diese Funktionalität im Verwaltungskonto bereitzustellen, werden der verwalteten Richtlinie`AWSControlTowerServiceRolePolicy`, die von der `AWSControlTowerAdmin` Rolle bei der Erstellung des AWS Config Aggregators verwendet wird, die folgenden Berechtigungen hinzugefügt:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "config:PutConfigurationAggregator",
          "config:DeleteConfigurationAggregator",
          "iam:PassRole"
          ],
        "Resource": [
          "arn:aws:iam::123456789012:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations",
          "arn:aws:config:us-east-1:123456789012:config-aggregator/"
          ]
        },
      {
        "Effect": "Allow",
        "Action": "organizations:EnableAWSServiceAccess",
        "Resource": "*"
      }
    ]
}
```

------

Neue Ressourcen wurden erstellt: `AWSControlTowerConfigAggregatorRoleForOrganizations` und `aws-controltower-ConfigAggregatorForOrganizations`

Wenn Sie bereit sind, können Sie Konten einzeln oder als Gruppe registrieren, indem Sie eine Organisationseinheit registrieren. Wenn Sie ein Konto registriert haben und eine Regel in erstellen AWS Config, erkennt AWS Control Tower die neue Regel. Der Aggregator zeigt die Anzahl der externen Regeln an und bietet einen Link zur AWS Config Konsole, über die Sie die Details jeder externen Regel für Ihr Konto einsehen können. Ermitteln Sie anhand der Informationen in der AWS Config Konsole und der AWS Control Tower Tower-Konsole, ob Sie die entsprechenden Kontrollen für das Konto aktiviert haben.

## Programmgesteuerte Rollen und Vertrauensbeziehungen für das AWS Control Tower Tower-Auditkonto
<a name="stacksets-and-roles"></a>

Sie können sich beim Auditkonto anmelden und programmgesteuert die Rolle übernehmen, andere Konten zu überprüfen. Das Prüfungskonto erlaubt Ihnen nicht, sich manuell bei anderen Konten anzumelden.

Das Auditkonto ermöglicht Ihnen mithilfe einiger Rollen, die nur AWS Lambda-Funktionen gewährt werden, programmatischen Zugriff auf andere Konten. Aus Sicherheitsgründen haben diese Rollen *Vertrauensbeziehungen zu* anderen Rollen, was bedeutet, dass die Bedingungen, unter denen die Rollen verwendet werden können, genau definiert sind.

Der AWS Control Tower Tower-Stack `StackSet-AWSControlTowerBP-BASELINE-ROLES` erstellt diese ausschließlich programmgesteuerten, kontoübergreifenden IAM-Rollen im Auditkonto:
+ **aws-controltower- AdministratorExecutionRole**
+ **aws-Kontrollturm- ReadOnlyExecutionRole**

Der AWS Control Tower Tower-Stack `StackSet-AWSControlTowerSecurityResources` erstellt diese ausschließlich programmgesteuerten, kontoübergreifenden IAM-Rollen im Auditkonto: 
+ **aws-controltower- AuditAdministratorRole**
+ **aws-Kontrollturm- AuditReadOnlyRole**

`ReadOnlyExecutionRole:`Beachten Sie, dass diese Rolle es dem Auditkonto ermöglicht, Objekte in Amazon S3 S3-Buckets in der gesamten Organisation zu lesen (im Gegensatz zu der `SecurityAudit` Richtlinie, die nur den Zugriff auf Metadaten zulässt).

**aws-controltower-: AdministratorExecutionRole**
+ Hat Administratorrechte
+ Kann von der Konsole aus nicht angenommen werden
+ Kann nur von einer Rolle im Auditkonto übernommen werden — dem `aws-controltower-AuditAdministratorRole` 

Das folgende Artefakt zeigt das Vertrauensverhältnis für`aws-controltower-AdministratorExecutionRole`. Die Platzhalternummer `012345678901` wird durch die `Audit_acct_ID` Nummer für Ihr Auditkonto ersetzt.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditAdministratorRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

**aws-controltower-: AuditAdministratorRole**
+ Kann nur vom AWS Lambda-Service übernommen werden 
+ Hat die Berechtigung, Lese- (Get) und Schreibvorgänge (Put) für Amazon S3 S3-Objekte durchzuführen, deren Namen mit der Zeichenfolge **log** beginnen

**Beigefügte Richtlinien:**

1. **AWSLambdaAusführen** — AWS verwaltete Richtlinie

2. **AssumeRole-aws-controltower- AuditAdministratorRole** — Inline-Richtlinie — Erstellt von AWS Control Tower, Artifact folgt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
	{
	"Action": [
		 "sts:AssumeRole"
		 ],
	"Resource": [
		 "arn:aws:iam::*:role/aws-controltower-AdministratorExecutionRole"
		 ],
	"Effect": "Allow"
	}
   ]
}
```

------

Das folgende Artefakt zeigt die Vertrauensbeziehung für: `aws-controltower-AuditAdministratorRole`

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

**aws-controltower-: ReadOnlyExecutionRole**
+ Kann von der Konsole aus nicht angenommen werden
+ Kann nur von einer anderen Rolle im Auditkonto übernommen werden — der `AuditReadOnlyRole`

Das folgende Artefakt zeigt das Vertrauensverhältnis für`aws-controltower-ReadOnlyExecutionRole`. Die Platzhalternummer `012345678901` wird durch die `Audit_acct_ID` Nummer für Ihr Auditkonto ersetzt.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditReadOnlyRole "
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

**aws-controltower-: AuditReadOnlyRole**
+ Kann nur vom AWS Lambda-Service übernommen werden
+ Hat die Berechtigung, Lese- (Get) und Schreibvorgänge (Put) für Amazon S3 S3-Objekte durchzuführen, deren Namen mit der Zeichenfolge **log** beginnen

**Beigefügte Richtlinien:**

1. **AWSLambdaAusführen** — AWS verwaltete Richtlinie

2. **AssumeRole-aws-controltower- AuditReadOnlyRole** — Inline-Richtlinie — Erstellt von AWS Control Tower, Artifact folgt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
	{
	"Action": [
		"sts:AssumeRole"
	],
	"Resource": [
		"arn:aws:iam::*:role/aws-controltower-ReadOnlyExecutionRole"
	],
	"Effect": "Allow"
   }
  ]
}
```

------

Das folgende Artefakt zeigt die Vertrauensbeziehung für: `aws-controltower-AuditAdministratorRole`

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

## Automatisierte Kontobereitstellung mit IAM-Rollen
<a name="automated-provisioning"></a>

Um Account Factory Factory-Konten automatisierter zu konfigurieren, können Sie Lambda-Funktionen im AWS Control Tower Tower-Verwaltungskonto erstellen, das [die **AWSControlTowerExecution**Rolle im Mitgliedskonto übernimmt](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role/). Anschließend führt das Verwaltungskonto mithilfe der Rolle die gewünschten Konfigurationsschritte in jedem Mitgliedskonto durch.

 Wenn Sie Konten mithilfe von Lambda-Funktionen bereitstellen, muss die Identität, die diese Arbeit ausführt, zusätzlich zu die folgende IAM-Berechtigungsrichtlinie aufweisen. `AWSServiceCatalogEndUserFullAccess`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSControlTowerAccountFactoryAccess",
            "Effect": "Allow",
            "Action": [
                "sso:GetProfile",
                "sso:CreateProfile",
                "sso:UpdateProfile",
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:CreateTrust",
                "sso:UpdateTrust",
                "sso:GetPeregrineStatus",
                "sso:GetApplicationInstance",
                "sso:ListDirectoryAssociations",
                "sso:ListPermissionSets",
                "sso:GetPermissionSet",
                "sso:ProvisionApplicationInstanceForAWSAccount",
                "sso:ProvisionApplicationProfileForAWSAccountInstance",
                "sso:ProvisionSAMLProvider",
                "sso:ListProfileAssociations",
                "sso-directory:ListMembersInGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeDirectory",
                "sso-directory:GetUserPoolInfo",
                "controltower:CreateManagedAccount",
                "controltower:DescribeManagedAccount",
                "controltower:DeregisterManagedAccount",
                "s3:GetObject",
                "organizations:describeOrganization",
                "sso:DescribeRegisteredRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Die Berechtigungen `sso:GetPeregrineStatus` `sso:ProvisionApplicationInstanceForAWSAccount``sso:ProvisionApplicationProfileForAWSAccountInstance`, und `sso:ProvisionSAMLProvide` werden von AWS Control Tower Account Factory für die Interaktion mit dem AWS IAM Identity Center benötigt.