As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Perfis necessários Em geral, os perfis e as políticas fazem parte do Identity and Access Management (IAM) na AWS. Consulte mais informações no [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html). O AFT cria várias políticas e perfil do IAM nas contas de gerenciamento do AFT e do AWS Control Tower para apoiar as operações do pipeline do AFT. Esses perfis são criados com base no modelo de acesso com privilégio mínimo, que restringe a permissão aos conjuntos mínimos de ações e recursos necessários para cada perfil e política. Essas funções e políticas são atribuídas a um `key:value` par de AWS tags, ` managed_by:AFT` para identificação. Além desses perfis do IAM, o AFT cria três perfis essenciais: + o perfil `AWSAFTAdmin` + o perfil `AWSAFTExecution` + o perfil `AWSAFTService` Esses perfis são explicados nas seções a seguir. **O AWSAFTAdmin papel, explicado** Quando você implanta o AFT, o perfil `AWSAFTAdmin` é criado na conta de gerenciamento do AFT. Esse perfil permite que o pipeline do AFT assuma o perfil `AWSAFTExecution` nas contas provisionadas do AWS Control Tower e do AFT, realizando, assim, ações relacionadas ao provisionamento e às personalizações da conta. Aqui está a política em linha (artefato JSON) anexada ao perfil `AWSAFTAdmin`: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ O artefato JSON a seguir mostra a relação de confiança do perfil `AWSAFTAdmin`. O número do espaço reservado `012345678901` é substituído pelo número de ID da conta de gerenciamento do AFT. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **O AWSAFTExecution papel, explicado** Ao implantar o AFT, o perfil `AWSAFTExecution` é criado nas contas de gerenciamento do AFT e do AWS Control Tower. Posteriormente, o pipeline do AFT cria o perfil `AWSAFTExecution` em cada conta provisionada do AFT durante o estágio de provisionamento de conta do AFT. O AFT utiliza o perfil `AWSControlTowerExecution` inicialmente, para criar o perfil `AWSAFTExecution` em contas especificadas. O perfil `AWSAFTExecution` permite que o pipeline do AFT execute as etapas que são realizadas durante os estágios de provisionamento e personalização do framework do AFT, para contas provisionadas e contas compartilhadas do AFT. **Perfis distintos ajudam a limitar o escopo** Como prática recomendada, mantenha as permissões de personalização separadas das permissões concedidas durante a implantação inicial dos recursos. Lembre-se de que o perfil `AWSAFTService` se destina ao provisionamento de contas e o perfil `AWSAFTExecution` à personalização de contas. Essa separação limita o escopo das permissões concedidas durante cada fase do pipeline. Essa distinção é especialmente importante se você estiver personalizando as contas compartilhadas do AWS Control Tower, porque as contas compartilhadas podem conter informações confidenciais, como detalhes de faturamento ou informações do usuário. Permissões para `AWSAFTExecution` função: **AdministratorAccess**— uma política gerenciada pela AWS O artefato JSON a seguir mostra a política do IAM (relação de confiança) anexada ao perfil `AWSAFTExecution`. O número do espaço reservado `012345678901` é substituído pelo número de ID da conta de gerenciamento do AFT. Política de confiança para `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **O AWSAFTService papel, explicado** O perfil `AWSAFTService` implanta recursos do AFT em todas as contas registradas e gerenciadas, incluindo as contas compartilhadas e a conta de gerenciamento. Anteriormente, os recursos eram implantados somente pelo perfil `AWSAFTExecution`. O perfil `AWSAFTService` deve ser usado pela infraestrutura de serviços para implantar recursos durante o estágio de provisionamento, e o perfil `AWSAFTExecution` deve ser usado somente para implantar personalizações. Ao assumir os perfis dessa forma, você pode manter um controle de acesso mais granular durante cada estágio. Permissões para `AWSAFTService` função: **AdministratorAccess**— uma política gerenciada pela AWS O artefato JSON a seguir mostra a política do IAM (relação de confiança) anexada ao perfil `AWSAFTService`. O número do espaço reservado `012345678901` é substituído pelo número de ID da conta de gerenciamento do AFT. Política de confiança para `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------