

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões obrigatórias para usar o console do AWS Control Tower
<a name="additional-console-required-permissions"></a>

O AWS Control Tower cria três perfis automaticamente quando você configura uma zona de pouso. Todos os três perfis são necessários para permitir o acesso ao console. O AWS Control Tower divide as permissões em três perfis como uma prática recomendada para restringir o acesso ao mínimo de conjuntos de ações e recursos.

**Três funções necessárias para acesso à zona de pouso**
+ [AWS ControlTowerAdmin papel](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
+ [AWSControlTowerCloudTrailRole](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)

Recomendamos que você restrinja o acesso às políticas de confiança de perfil a esses perfis. Consulte mais informações em [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).

## Visualizar o Control Catalog no console
<a name="view-control-catalog-in-console"></a>

Para visualizar as informações de controle no console do AWS Control Tower, você deve adicionar permissões `controlcatalog` adicionais às suas políticas do IAM. Essas permissões são as seguintes:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`

Aqui está um exemplo mostrando as permissões atualizadas na política.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "controlcatalog:GetControl",
                "controlcatalog:ListControls",
                "controlcatalog:ListControlMappings",
                "controlcatalog:ListCommonControls"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Você deve adicionar essas permissões porque o AWS Control Tower chama as APIs `controlcatalog` para recuperar determinados metadados de controle; portanto, as permissões do AWS Control Tower não são suficientes.

Para obter mais informações sobre como atualizar suas permissões, consulte [Criar funções e atribuir permissões](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html).

Para obter mais informações sobre ações do IAM do `controlcatalog`, consulte [Ações, recursos e chaves de condição do Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).

**nota**  
As informações de controle estão disponíveis por meio das [APIs do Control Catalog](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).