As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, conceder permissões para realizar operações em recursos do AWS Control Tower.
**Importante**
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do AWS Control Tower. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos recursos do AWS Control Tower](access-control-overview.md).
## AWS ControlTowerAdmin papel
Esse perfil concede ao AWS Control Tower o acesso à infraestrutura essencial para manter a zona de pouso. O perfil `AWS ControlTowerAdmin` exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM. Uma *política de confiança de perfil* é uma política baseada no recurso que especifica quais entidades principais podem assumir o perfil.
Aqui está um exemplo de política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para criar essa função a partir da AWS CLI e colocá-la em um arquivo chamado`trust.json`, veja um exemplo de comando da CLI:
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
Esse perfil exige duas políticas do IAM.
1. Uma política em linha, por exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. A política gerenciada a seguir, que é `AWS ControlTowerServiceRolePolicy`.
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy**É uma política AWS gerenciada que define permissões para criar e gerenciar recursos da AWS Control Tower, como AWS CloudFormation conjuntos de pilhas e instâncias de pilha, arquivos de AWS CloudTrail log, um agregador de configuração para a AWS Control Tower, bem como AWS Organizations contas e unidades organizacionais (OUs) que são governadas pela AWS Control Tower.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).
Para obter mais informações, consulte [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
Política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
A política em linha é `AWS ControlTowerAdminPolicy`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
Essa política fornece permissões para configurar os recursos do Centro de Identidade do IAM (IdC) nas contas de membro inscritas no AWS Control Tower. Quando você seleciona o Centro de Identidade do IAM como seu provedor de identidade durante a configuração (ou atualização) da zona de pouso no AWS Control Tower, essa política é anexada à função da `AWS ControlTowerAdmin`.
Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) no *AWS Managed Policy Reference Guide*.
## AWS ControlTowerStackSetRole
CloudFormation assume essa função para implantar conjuntos de pilhas em contas criadas pela AWS Control Tower. Política em linha:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**Política de confiança**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
O AWS Control Tower habilita, CloudTrail como melhor prática, e fornece essa função para CloudTrail. CloudTrail assume essa função para criar e publicar CloudTrail registros.
**Política gerenciada:** `AWS ControlTowerCloudTrailRolePolicy`
Essa função usa a política AWS gerenciada`AWS ControlTowerCloudTrailRolePolicy`, que concede CloudTrail as permissões necessárias para publicar registros de auditoria no Amazon CloudWatch Logs em nome da AWS Control Tower. Essa política gerenciada substitui a política embutida que era usada anteriormente para essa função, permitindo atualizar AWS a política sem a intervenção do cliente.
Para obter mais informações, consulte [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).
**nota**
Antes da introdução da política gerenciada, essa função usava uma política embutida com permissões equivalentes. A política em linha foi substituída pela política gerenciada para permitir atualizações contínuas.
**Política embutida anterior (para referência):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**Política de confiança**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess requisitos de função
O AWS Control Tower exige que você crie o perfil `AWS ControlTowerBlueprintAccess` na conta designada do hub de esquemas designada, dentro da mesma organização.
**Nome da função**
O tipo de função deve ser `AWS ControlTowerBlueprintAccess`.
**Política de confiança de perfil**
O perfil deve ser configurado para confiar nestas entidades principais:
+ A entidade principal que usa o AWS Control Tower na conta de gerenciamento.
+ O perfil `AWS ControlTowerAdmin` na conta de gerenciamento.
O exemplo a seguir mostra uma política de confiança de privilégio mínimo. Ao criar sua própria política, substitua o termo {{YourManagementAccountId}} pelo ID da conta real da conta de gerenciamento do AWS Control Tower e substitua o termo {{YourControlTowerUserRole}} pelo identificador do perfil do IAM da sua conta de gerenciamento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::{{111122223333}}:role/{{YourControlTowerUserRole}}"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**Permissões do perfil**
Você deve anexar a política gerenciada **AWSServiceCatalogAdminFullAccess**à função.
## AWSServiceRoleForAWSControlTower
Esse perfil fornece ao AWS Control Tower acesso à conta de arquivamento de logs, à conta de auditoria e às contas-membros para operações essenciais de manutenção da zona de pouso, como notificar você sobre recursos com desvio.
O perfil `AWS ServiceRoleFor AWS ControlTower` exige uma política gerenciada anexada e uma política de confiança de perfil para o perfil do IAM.
**Política gerenciada para esse perfil: **`AWS ControlTowerAccountServiceRolePolicy`
Política de confiança de perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
Essa política AWS gerenciada permite que o AWS Control Tower chame AWS serviços que fornecem configuração automatizada de contas e governança centralizada em seu nome.
A política contém as permissões mínimas para que a AWS Control Tower implemente o encaminhamento de AWS Security Hub CSPM descobertas para recursos gerenciados pelos controles CSPM do Security Hub que fazem parte do padrão **CSPM do Security Hub: AWS Service-managed Control Tower**, e evita alterações que restringem a capacidade de gerenciar contas de clientes. Faz parte do processo de detecção de desvios do AWS Security Hub CSPM em segundo plano que não é iniciado diretamente pelo cliente.
A política concede permissões para criar EventBridge regras da Amazon, especificamente para controles CSPM do Security Hub, em cada conta membro, e essas regras devem especificar uma exata. EventPattern Além disso, uma regra pode operar somente em regras gerenciadas por nossa entidade principal do serviço.
**Entidade principal do serviço:** `controltower.amazonaws.com`
Para obter mais informações, consulte [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)o *Guia de referência de políticas AWS gerenciadas*.
As atualizações dessa política gerenciada estão resumidas na tabela [Políticas gerenciadas para o AWS Control Tower](managed-policies-table.md).