Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower
<a name="access-control-managing-permissions"></a>

Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources de l'AWS Control Tower. 

**Important**  
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès aux ressources de votre AWS Control Tower. Pour de plus amples informations, veuillez consulter [Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower](access-control-overview.md). 

## AWS ControlTowerAdmin rôle
<a name="AWSControlTowerAdmin"></a>

Ce rôle permet à AWS Control Tower d'accéder à l'infrastructure essentielle au maintien de la zone d'atterrissage. Le `AWS ControlTowerAdmin` rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM. Une *politique de confiance dans les rôles* est une politique basée sur les ressources, qui spécifie quels principaux peuvent assumer le rôle.

Voici un exemple d'extrait de cette politique de confiance des rôles :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "controltower.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Pour créer ce rôle à partir de la AWS CLI et le placer dans un fichier appelé`trust.json`, voici un exemple de commande CLI :

```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```

Ce rôle nécessite deux politiques IAM.

1. Une politique en ligne, par exemple :

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "ec2:DescribeAvailabilityZones",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. La politique gérée qui suit, qui est la`AWS ControlTowerServiceRolePolicy`.

## AWS ControlTowerServiceRolePolicy
<a name="AWSControlTowerServiceRolePolicy"></a>

**AWS ControlTowerServiceRolePolicy**Il s'agit d'une politique AWS gérée qui définit les autorisations pour créer et gérer les ressources de la tour de contrôle AWS, telles que les AWS CloudFormation stacksets et les instances de pile, les fichiers AWS CloudTrail journaux, un agrégateur de configuration pour AWS Control Tower, ainsi que les AWS Organizations comptes et les unités organisationnelles (UO) régis par AWS Control Tower.

Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).

Pour plus d'informations, consultez [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.

Politique de confiance dans les rôles :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"       
         ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

La politique en ligne est `AWS ControlTowerAdminPolicy` la suivante :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:DescribeAvailabilityZones",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```

------

## AWS ControlTowerIdentityCenterManagementPolicy
<a name="AWSControlTowerIdentityCenterManagementPolicy"></a>

Cette politique fournit des autorisations pour configurer les ressources IAM Identity Center (iDC) dans les comptes des membres inscrits auprès d'AWS Control Tower. Lorsque vous sélectionnez IAM Identity Center comme fournisseur d'identité lors de la configuration (ou de la mise à jour) de la zone d'atterrissage dans AWS Control Tower, cette politique est associée au `AWS ControlTowerAdmin` rôle.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) dans le *Guide de référence de la politique gérée par AWS *.

## AWS ControlTowerStackSetRole
<a name="AWSControlTowerStackSetRole"></a>

CloudFormation assume ce rôle pour déployer des ensembles de piles dans les comptes créés par AWS Control Tower. Stratégie en ligne : 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/AWSControlTowerExecution"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

**Politique d’approbation**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerCloudTrailRolePolicy
<a name="AWSControlTowerCloudTrailRolePolicy"></a>

AWS Control Tower l'autorise CloudTrail en tant que bonne pratique et fournit ce rôle à CloudTrail. CloudTrail assume ce rôle pour créer et publier CloudTrail des journaux.

**Politique gérée :** `AWS ControlTowerCloudTrailRolePolicy`

Ce rôle utilise la politique AWS-managed`AWS ControlTowerCloudTrailRolePolicy`, qui accorde CloudTrail les autorisations nécessaires pour publier des journaux d'audit sur Amazon CloudWatch Logs au nom d'AWS Control Tower. Cette politique gérée remplace la politique en ligne qui était précédemment utilisée pour ce rôle, ce qui permet de mettre AWS à jour la politique sans intervention du client.

Pour plus d'informations, consultez [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)le *Guide de référence des politiques AWS gérées*.

Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).

**Note**  
Avant l'introduction de la politique gérée, ce rôle utilisait une politique en ligne avec des autorisations équivalentes. La politique intégrée a été remplacée par la politique gérée afin de permettre des mises à jour fluides.

**Politique en ligne précédente (pour référence) :**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "logs:CreateLogStream",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        },
        {
            "Action": "logs:PutLogEvents",
            "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
            "Effect": "Allow"
        }
    ]
}
```

------

**Politique d’approbation**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerBlueprintAccess exigences relatives aux rôles
<a name="AWSControlTowerBlueprintAccess"></a>

AWS Control Tower vous demande de créer le `AWS ControlTowerBlueprintAccess` rôle dans le compte Blueprint Hub désigné, au sein de la même organisation.

**Nom de rôle**

Le nom du rôle doit être`AWS ControlTowerBlueprintAccess`.

**Politique de confiance dans les rôles**

Le rôle doit être configuré de manière à faire confiance aux principes suivants :
+ Le principal qui utilise AWS Control Tower dans le compte de gestion.
+ Le `AWS ControlTowerAdmin` rôle dans le compte de gestion.

L'exemple suivant illustre une politique de confiance fondée sur le principe du moindre privilège. Lorsque vous établissez votre propre politique, remplacez le terme {{YourManagementAccountId}} par l'identifiant de compte réel de votre compte de gestion AWS Control Tower, et remplacez le terme {{YourControlTowerUserRole}} par l'identifiant du rôle IAM pour votre compte de gestion.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::{{111122223333}}:role/{{YourControlTowerUserRole}}"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}
```

------

**Autorisations relatives aux rôles**

Vous devez associer la politique gérée **AWSServiceCatalogAdminFullAccess**au rôle.

## AWSServiceRoleForAWSControlTower
<a name="AWSServiceRoleForAWSControlTower"></a>

Ce rôle permet à AWS Control Tower d'accéder au compte Log Archive, au compte d'audit et aux comptes des membres, pour les opérations essentielles au maintien de la zone de landing zone, telles que la notification des ressources dérivées.

Le `AWS ServiceRoleFor AWS ControlTower` rôle nécessite une politique gérée attachée et une politique de confiance de rôle pour le rôle IAM.

**Politique gérée pour ce rôle :** `AWS ControlTowerAccountServiceRolePolicy`

Politique de confiance dans les rôles :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "controltower.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

## AWS ControlTowerAccountServiceRolePolicy
<a name="account-service-role-policy"></a>

Cette politique AWS gérée permet à AWS Control Tower d'appeler AWS des services qui fournissent une configuration de compte automatisée et une gouvernance centralisée en votre nom.

La politique contient les autorisations minimales permettant à AWS Control Tower de mettre en œuvre le transfert des AWS Security Hub CSPM résultats pour les ressources gérées par les contrôles Security Hub CSPM qui font partie de la ** Service-managed norme Security Hub CSPM : AWS Control Tower**, et elle empêche les modifications qui limitent la capacité à gérer les comptes clients. Cela fait partie du processus de détection de la AWS Security Hub CSPM dérive de fond qui n'est pas directement initié par le client.

La politique donne l'autorisation de créer des EventBridge règles Amazon, en particulier pour les contrôles Security Hub CSPM, dans chaque compte membre, et ces règles doivent en spécifier une exacte. EventPattern De plus, une règle ne peut fonctionner que sur des règles gérées par notre directeur de service.

**Principal du service :** `controltower.amazonaws.com`

Pour plus d'informations, consultez [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.

Les mises à jour de cette politique gérée sont résumées dans le tableau[Politiques gérées pour AWS Control Tower](managed-policies-table.md).