Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos necesarios para utilizar la consola de AWS Control Tower
<a name="additional-console-required-permissions"></a>

AWS Control Tower crea tres roles automáticamente cuando configura una zona de aterrizaje. Los tres roles son necesarios para permitir el acceso a la consola. AWS Control Tower divide los permisos en tres roles como práctica recomendada para restringir el acceso a los conjuntos mínimos de acciones y recursos.

**Tres roles obligatorios para el acceso a la zona de aterrizaje**
+ [AWS ControlTowerAdmin papel](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
+ [AWSControlTowerCloudTrailRole](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)

Le recomendamos que restrinja el acceso a las políticas de confianza de rol para estos roles. Para obtener más información, consulte [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).

## Consulta de Control Catalog en la consola
<a name="view-control-catalog-in-console"></a>

Para ver información de control en la consola de AWS Control Tower, debe añadir permisos adicionales de `controlcatalog` a sus políticas de IAM. Estos permisos son los siguientes:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`

Este es un ejemplo que muestra los permisos actualizados en la política.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Debe añadir estos permisos porque AWS Control Tower llama a las API `controlcatalog` para recuperar determinados metadatos de control, por lo que los permisos de AWS Control Tower no son suficientes.

Para obtener más información sobre cómo actualizar los permisos, consulte [Creación de roles y asignación de permisos](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html).

Para obtener más información acerca de las acciones de `controlcatalog` de IAM, consulte [Acciones, recursos y claves de condición de Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).

**nota**  
La información de control está disponible a través de las [API Control Catalog](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).