本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 必要角色 一般而言,角色和政策是 中身分和存取管理 (IAM) 的一部分 AWS。如需詳細資訊,請參閱 [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html)。 AFT 會在 AFT 管理和 AWS Control Tower 管理帳戶中建立多個 IAM 角色和政策,以支援 AFT 管道的操作。這些角色是根據最低權限存取模型建立的,這會限制對每個角色和政策的最低必要動作和資源集的許可。這些角色和政策會獲指派 AWS 標籤`key:value`對,` managed_by:AFT`用於識別。 除了這些 IAM 角色之外,AFT 還會建立三個基本角色: + `AWSAFTAdmin` 角色 + `AWSAFTExecution` 角色 + `AWSAFTService` 角色 以下各節會說明這些角色。 **AWSAFTAdmin 角色,說明** 當您部署 AFT 時,`AWSAFTAdmin`角色會在 AFT 管理帳戶中建立。此角色允許 AFT 管道擔任 AWS Control Tower 和 AFT 佈建帳戶中`AWSAFTExecution`的角色,藉此執行與帳戶佈建和自訂相關的動作。 以下是連接到`AWSAFTAdmin`角色的內嵌政策 (JSON 成品): ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::*:role/AWSAFTExecution", "arn:aws:iam::*:role/AWSAFTService" ] } ] } ``` ------ 下列 JSON 成品顯示`AWSAFTAdmin`角色的信任關係。預留位置號碼`012345678901`會由 AFT 管理帳戶 ID 號碼取代。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ **AWSAFTExecution 角色,說明** 部署 AFT 時,`AWSAFTExecution`角色會在 AFT 管理和 AWS Control Tower 管理帳戶中建立。稍後,AFT 管道會在 AFT 帳戶佈建階段期間,在每個 AFT 佈建帳戶中建立`AWSAFTExecution`角色。 AFT 一開始會利用`AWSControlTowerExecution`角色,在指定的帳戶中建立`AWSAFTExecution`角色。此`AWSAFTExecution`角色可讓 AFT 管道針對 AFT 佈建帳戶和共用帳戶,執行在 AFT 架構佈建和佈建自訂階段期間執行的步驟。 **不同的角色可協助您限制範圍** 最佳實務是將自訂許可與 資源初始部署期間允許的許可分開。請記住,`AWSAFTService`角色適用於帳戶佈建,而`AWSAFTExecution`角色適用於帳戶自訂。此分隔會限制管道每個階段期間允許的許可範圍。如果您自訂 AWS Control Tower 共用帳戶,此區別尤其重要,因為共用帳戶可能包含敏感資訊,例如帳單詳細資訊或使用者資訊。 `AWSAFTExecution` 角色的許可: **AdministratorAccess** – AWS 受管政策 下列 JSON 成品顯示連接至`AWSAFTExecution`角色的 IAM 政策 (信任關係)。預留位置號碼`012345678901`會由 AFT 管理帳戶 ID 號碼取代。 的信任政策 `AWSAFTExecution` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------ **AWSAFTService 角色,說明** 此`AWSAFTService`角色會在所有已註冊和受管帳戶中部署 AFT 資源,包括共用帳戶和管理帳戶。先前僅由 `AWSAFTExecution`角色部署的資源。 該`AWSAFTService`角色旨在供服務基礎設施在佈建階段期間部署資源,而該`AWSAFTExecution`角色僅用於部署自訂。透過以此方式擔任角色,您可以在每個階段維持更精細的存取控制。 `AWSAFTService` 角色的許可: **AdministratorAccess** – AWS 受管政策 下列 JSON 成品顯示連接至`AWSAFTService`角色的 IAM 政策 (信任關係)。預留位置號碼`012345678901`會由 AFT 管理帳戶 ID 號碼取代。 的信任政策 `AWSAFTService` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin" }, "Action": "sts:AssumeRole" } ] } ``` ------