本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性
<a name="security"></a>

当您在 AWS 基础设施上构建系统时，AWS 和您如何共同分担安全责任。这种[共享模式](https://aws.amazon.com/compliance/shared-responsibility-model/)可以减轻您的运营负担，因为 AWS 运营、管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件。有关 AWS 安全的更多信息，请访问 [AWS 安全中心](https://aws.amazon.com/security/)。

## IAM 角色
<a name="iam-roles"></a>

此解决方案按照最低权限的最佳实践创建 IAM 角色来控制和隔离权限。该解决方案向服务授予以下权限：

## 集线器模板
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ 向注册分支账户的亚马逊 DynamoDB 表写入权限

 `InvokeECSTaskRole` 
+ 创建和运行 Amazon ECS 任务的权限

 `CostOptimizerAdminRole` 
+ 对注册了分支账户的亚马逊 DynamoDB 表的读取权限
+ 假设分支账户`WorkspacesManagementRole`的角色权限
+ AWS Directory Service 的只读权限
+ 向 Amazon CloudWatch 日志写入权限
+ 向 Amazon S3 写入权限
+ 的读写权限 WorkSpaces

 `SolutionHelperRole` 
+ 允许调用 AWS Lambda 函数为解决方案指标生成通用唯一标识符 (UUID)

## 辐条模板
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ AWS Directory Service 的只读权限
+ 向 Amazon CloudWatch 日志写入权限
+ 向 Amazon S3 写入权限
+ 的读/写权限 WorkSpaces

 `AccountRegistrationProviderRole` 
+ 调用 Lambda 函数向中心账户堆栈注册分支账户