As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como o AWS Control Tower funciona com perfis para criar e gerenciar contas
Em geral, os perfis fazem parte do Identity and Access Management (IAM) na AWS. Para obter informações gerais sobre o IAM e as funções no AWS, consulte [o tópico Funções do IAM no *Guia AWS do usuário do IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
## Criação de conta e perfis
O AWS Control Tower cria uma conta de cliente chamando a API `CreateAccount` do AWS Organizations. Ao AWS Organizations criar essa conta, ela cria uma função dentro dessa conta, que o AWS Control Tower nomeia ao passar um parâmetro para a API. O nome da função é `AWSControlTowerExecution`.
O AWS Control Tower assume o perfil `AWSControlTowerExecution` para todas as contas criadas pelo Account Factory. Usando esse perfil, o AWS Control Tower define a *linha de base* da conta e aplica controles obrigatórios (e quaisquer outros habilitados), o que resulta na criação de outros perfis. Esses perfis, por sua vez, são usados por outros serviços, como o AWS Config.
**nota**
Definir a *linha de base* de conta é configurar seus recursos, que incluem [modelos do Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-considerations.html), às vezes chamados de *esquemas* e controles. O processo de definir a linha de base também configura o registro em log centralizado e os perfis de auditoria de segurança na conta, como parte da implantação dos modelos. As linhas de base do AWS Control Tower estão contidas nos perfis que você aplica a cada conta inscrita.
Consulte mais informações sobre contas e recursos em [Sobre Contas da AWS na AWS Control Tower](accounts.md).
## Como o AWS Control Tower agrega AWS Config regras em contas e não gerenciadas OUs
+ A conta de gerenciamento da AWS Control Tower cria um agregador em nível organizacional, que ajuda na detecção de AWS Config regras externas, para que a AWS Control Tower não precise obter acesso a contas não gerenciadas. O console do AWS Control Tower mostra quantas AWS Config regras criadas externamente você tem para uma determinada conta. Consulte detalhes sobre essas regras externas na guia **Conformidade de regras externas do Config** da página de **Detalhes da conta**.
+ Para criar o agregador, o AWS Control Tower adiciona um perfil com as permissões necessárias para descrever uma organização e listar as contas que ela contém. O perfil `AWSControlTowerConfigAggregatorRoleForOrganizations` requer a política gerenciada `AWSConfigRoleForOrganizations` e uma relação de confiança com `config.amazonaws.com`.
**nota**
*Os clientes que usam o landing zone versão 4.0 não precisarão dessa função porque o AWS Control Tower migrou do agregador de configuração existente no nível da organização para o agregador de configuração vinculado ao serviço*
**nota**
Quando você habilita o acesso confiável na organização que contém sua landing zone, o AWS Control Tower pode criar funções, gerenciar recursos e ler dados de todas as contas na organização. Por meio de acesso confiável, qualquer conta ou OU na organização está disponível para o AWS Control Tower, seja ela registrada e inscrita, ou *não registrada e *não** inscrita.
Aqui está a política do IAM (artefato JSON) anexada ao perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
}
]
}
```
------
Esta é a relação de confiança de `AWSControlTowerConfigAggregatorRoleForOrganizations`:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
```
Para implantar essa funcionalidade na conta de gerenciamento, as seguintes permissões são adicionadas à política gerenciada`AWSControlTowerServiceRolePolicy`, que é usada pela `AWSControlTowerAdmin` função ao criar o AWS Config agregador:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/service-role/AWSControlTowerConfigAggregatorRoleForOrganizations",
"arn:aws:config:us-east-1:123456789012:config-aggregator/"
]
},
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*"
}
]
}
```
------
Novos recursos criados: `AWSControlTowerConfigAggregatorRoleForOrganizations` e `aws-controltower-ConfigAggregatorForOrganizations`
Quando estiver tudo pronto, você poderá inscrever contas individualmente ou inscrevê-las como um grupo registrando uma UO. Quando você inscreve uma conta, se você cria uma regra no AWS Config, o AWS Control Tower detecta a nova regra. O agregador mostra o número de regras externas e fornece um link para o AWS Config console onde você pode ver os detalhes de cada regra externa da sua conta. Use as informações no console do AWS Config e no console do AWS Control Tower para determinar se você tem os controles apropriados habilitados para a conta.
## Perfis programáticos e relações de confiança para a conta de auditoria do AWS Control Tower
É possível entrar na conta de auditoria e assumir o perfil de revisar outras contas de forma programática. A conta de auditoria não permite que você faça login em outras contas manualmente.
A conta de auditoria fornece acesso programático a outras contas, por meio de algumas funções que são concedidas somente às funções do AWS Lambda. Para fins de segurança, esses perfis têm *relações de confiança* com outros perfis, o que significa que as condições sob as quais os perfis podem ser utilizados são estritamente definidas.
A pilha `StackSet-AWSControlTowerBP-BASELINE-ROLES` do AWS Control Tower cria esses perfis do IAM somente programáticos e entre contas na conta de auditoria:
+ **aws-control tower- AdministratorExecutionRole**
+ **aws-control tower- ReadOnlyExecutionRole**
A pilha `StackSet-AWSControlTowerSecurityResources` do AWS Control Tower cria esses perfis do IAM somente programáticos e entre contas na conta de auditoria:
+ **aws-control tower- AuditAdministratorRole**
+ **aws-control tower- AuditReadOnlyRole**
`ReadOnlyExecutionRole:` Observe que esse perfil permite que a conta de auditoria leia objetos nos buckets do Amazon S3 em toda a organização (em contraste com a política `SecurityAudit`, que permite somente o acesso aos metadados).
**aws-control tower-: AdministratorExecutionRole**
+ Tem permissões de administrador
+ Não pode ser assumido pelo console
+ Só pode ser assumido por um perfil na conta de auditoria: o `aws-controltower-AuditAdministratorRole`
O artefato a seguir mostra a relação de confiança de `aws-controltower-AdministratorExecutionRole`. O número do espaço reservado `012345678901` será substituído pelo número `Audit_acct_ID` da sua conta de auditoria.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditAdministratorRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
**aws-control tower-: AuditAdministratorRole**
+ Pode ser assumido somente pelo AWS serviço Lambda
+ Tem permissão para realizar operações de leitura (Get) e gravação (Put) em objetos do Amazon S3 com nomes que começam com o **log** da string
**Políticas anexadas:**
1. **AWSLambdaExecutar** — política AWS gerenciada
2. **AssumeRole-aws-controltower- AuditAdministratorRole** — política em linha — Criada pela AWS Control Tower, segue o artefato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-controltower-AdministratorExecutionRole"
],
"Effect": "Allow"
}
]
}
```
------
O artefato a seguir mostra a relação de confiança de `aws-controltower-AuditAdministratorRole`:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**aws-control tower-: ReadOnlyExecutionRole**
+ Não pode ser assumido pelo console
+ Só pode ser assumido por outro perfil na conta de auditoria: o `AuditReadOnlyRole`
O artefato a seguir mostra a relação de confiança de `aws-controltower-ReadOnlyExecutionRole`. O número do espaço reservado `012345678901` será substituído pelo número `Audit_acct_ID` da sua conta de auditoria.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/aws-controltower-AuditReadOnlyRole "
},
"Action": "sts:AssumeRole"
}
]
}
```
**aws-control tower-: AuditReadOnlyRole**
+ Pode ser assumido somente pelo AWS serviço Lambda
+ Tem permissão para realizar operações de leitura (Get) e gravação (Put) em objetos do Amazon S3 com nomes que começam com o **log** da string
**Políticas anexadas:**
1. **AWSLambdaExecutar** — política AWS gerenciada
2. **AssumeRole-aws-controltower- AuditReadOnlyRole** — política em linha — Criada pela AWS Control Tower, segue o artefato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-controltower-ReadOnlyExecutionRole"
],
"Effect": "Allow"
}
]
}
```
------
O artefato a seguir mostra a relação de confiança de `aws-controltower-AuditAdministratorRole`:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
## Provisionamento automatizado de conta com funções do IAM
Para configurar contas do Account Factory de uma forma mais automatizada, você pode criar funções Lambda na conta de gerenciamento da AWS Control Tower, que [assume a **AWSControlTowerExecution**função](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role/) na conta do membro. Depois, usando o perfil, a conta de gerenciamento executa as etapas de configuração desejadas em cada conta-membro.
Se você estiver provisionando contas usando funções do Lambda, a identidade que executará esse trabalho deverá ter a política de permissões do IAM a seguir, além de `AWSServiceCatalogEndUserFullAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSControlTowerAccountFactoryAccess",
"Effect": "Allow",
"Action": [
"sso:GetProfile",
"sso:CreateProfile",
"sso:UpdateProfile",
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:CreateTrust",
"sso:UpdateTrust",
"sso:GetPeregrineStatus",
"sso:GetApplicationInstance",
"sso:ListDirectoryAssociations",
"sso:ListPermissionSets",
"sso:GetPermissionSet",
"sso:ProvisionApplicationInstanceForAWSAccount",
"sso:ProvisionApplicationProfileForAWSAccountInstance",
"sso:ProvisionSAMLProvider",
"sso:ListProfileAssociations",
"sso-directory:ListMembersInGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:DescribeDirectory",
"sso-directory:GetUserPoolInfo",
"controltower:CreateManagedAccount",
"controltower:DescribeManagedAccount",
"controltower:DeregisterManagedAccount",
"s3:GetObject",
"organizations:describeOrganization",
"sso:DescribeRegisteredRegions"
],
"Resource": "*"
}
]
}
```
------
As permissões`sso:GetPeregrineStatus`,, `sso:ProvisionApplicationInstanceForAWSAccount``sso:ProvisionApplicationProfileForAWSAccountInstance`, e `sso:ProvisionSAMLProvide` são exigidas pelo AWS Control Tower Account Factory para interagir com o AWS IAM Identity Center.