Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Roles obligatorios En general, los roles y las políticas forman parte de Identity and Access Management (IAM) en AWS. Para obtener más información, consulte la [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html). AFT crea varios roles y políticas de IAM en las cuentas de administración de AFT y de administración de AWS Control Tower para respaldar las operaciones de la canalización de AFT. Estos roles se crean en función del modelo de acceso de privilegio mínimo, que restringe el permiso a los conjuntos de acciones y recursos mínimos necesarios para cada rol y política. A estos roles y políticas se les asigna un `key:value` par de AWS etiquetas, a modo ` managed_by:AFT` de identificación. Además de estos roles de IAM, AFT crea tres roles esenciales: + El rol de `AWSAFTAdmin` + El rol de `AWSAFTExecution` + El rol de `AWSAFTService` Estos roles se explican en las siguientes secciones. **El AWSAFTAdmin rol, explicado** Al implementar AFT, el rol de `AWSAFTAdmin` se crea en la cuenta de administración de AFT. Este rol permite que la canalización de AFT asuma el rol de `AWSAFTExecution` en las cuentas aprovisionadas de AWS Control Tower y AFT y, por lo tanto, realice acciones relacionadas con el aprovisionamiento y la personalización de las cuentas. Esta es la política insertada (artefacto de JSON) asociada al rol de `AWSAFTAdmin`: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ El siguiente artefacto de JSON muestra la relación de confianza del rol de `AWSAFTAdmin`. El número de marcador `012345678901` se sustituye por el número de identificación de la cuenta de administración de la AFT. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **El AWSAFTExecution papel, explicado** Al implementar AFT, el rol de `AWSAFTExecution` se crea en las cuentas de administración de AFT y de administración de AWS Control Tower. Más adelante, la canalización de AFT crea el rol de `AWSAFTExecution` en cada cuenta aprovisionada de AFT durante la etapa de aprovisionamiento de la cuenta de AFT. AFT utiliza inicialmente el rol de `AWSControlTowerExecution` para crear el rol de `AWSAFTExecution` en cuentas especificadas. El rol de `AWSAFTExecution` permite que la canalización de AFT ejecute los pasos que se llevan a cabo durante las etapas de aprovisionamiento y personalización del aprovisionamiento del marco de AFT, para cuentas aprovisionadas por AFT y para cuentas compartidas. **Los roles distintos le ayudan a limitar el alcance** Como práctica recomendada, mantenga los permisos de personalización separados de los permisos permitidos durante la implementación inicial de los recursos. Recuerde que el rol de `AWSAFTService` se ha diseñado para el aprovisionamiento de cuentas y el rol de `AWSAFTExecution` para la personalización de cuentas. Esta separación limita el alcance de los permisos que se permiten durante cada fase de la canalización. Esta distinción es especialmente importante si va a personalizar las cuentas compartidas de AWS Control Tower, ya que las cuentas compartidas pueden contener información confidencial, como detalles de facturación o información de usuario. Permisos para `AWSAFTExecution` el rol: **AdministratorAccess**— una política administrada por AWS El siguiente artefacto de JSON muestra la política de IAM (relación de confianza) al rol de `AWSAFTExecution`. El número de marcador `012345678901` se sustituye por el número de identificación de la cuenta de administración de la AFT. Política de confianza para `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ ** AWSAFTService Explicación del rol** El rol de `AWSAFTService` despliega los recursos de AFT en todas las cuentas inscritas y administradas, incluidas las cuentas compartidas y la cuenta de administración. Anteriormente, los recursos los implementaba únicamente el rol de `AWSAFTExecution`. El rol de `AWSAFTService` se ha diseñado para que la infraestructura de servicios implemente recursos durante la etapa de aprovisionamiento, mientras que el rol de `AWSAFTExecution` está diseñado únicamente para implementar personalizaciones. Al asumir los roles de esta manera, puede mantener un control de acceso más detallado durante cada etapa. Permisos para `AWSAFTService` el rol: **AdministratorAccess**— una política administrada por AWS El siguiente artefacto de JSON muestra la política de IAM (relación de confianza) al rol de `AWSAFTService`. El número de marcador `012345678901` se sustituye por el número de identificación de la cuenta de administración de la AFT. Política de confianza para `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------