Optionale Bedingungen für Ihre Rolle, Ihre Vertrauensbeziehungen

Sie können in Ihren Richtlinien zur Rollenvertrauensstellung Bedingungen festlegen, um die Konten und Ressourcen einzuschränken, die mit bestimmten Rollen in AWS Control Tower interagieren. Wir empfehlen dringend, den Zugriff auf die AWSControlTowerAdmin Rolle einzuschränken, da dies weitreichende Zugriffsberechtigungen ermöglicht.

Um zu verhindern, dass ein Angreifer Zugriff auf Ihre Ressourcen erhält, bearbeiten Sie Ihre AWS Control Tower Tower-Vertrauensrichtlinie manuell, um der Richtlinienerklärung mindestens eine aws:SourceArn oder eine aws:SourceAccount Bedingung hinzuzufügen. Aus Sicherheitsgründen empfehlen wir dringend, die aws:SourceArn Bedingung hinzuzufügen, da sie spezifischer ist als aws:SourceAccount die Beschränkung des Zugriffs auf ein bestimmtes Konto und eine bestimmte Ressource.

Wenn Sie die Ressource nicht vollständig ARN kennen oder wenn Sie mehrere Ressourcen angeben, können Sie die aws:SourceArn Bedingung mit Platzhaltern (*) für die unbekannten Teile von verwenden. ARN arn:aws:controltower:*:123456789012:*Funktioniert beispielsweise, wenn Sie keine Region angeben möchten.

Das folgende Beispiel zeigt die Verwendung der aws:SourceArn IAM Bedingung mit Ihren IAM Rollenvertrauensrichtlinien. Fügen Sie die Bedingung in Ihrer Vertrauensbeziehung für die AWSControlTowerAdminRolle hinzu, da der AWS Control Tower Tower-Servicechef mit ihr interagiert.

Wie im Beispiel gezeigt, hat die Quelle ARN das folgende Format: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Ersetzen Sie die Zeichenfolgen ${HOME_REGION} und ${CUSTOMER_AWSACCOUNT_id} durch Ihre eigene Heimatregion und die Konto-ID des anrufenden Kontos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

In diesem Beispiel ARN darf nur arn:aws:controltower:us-west-2:012345678901:* die als ARN angegebene Quelle die sts:AssumeRole Aktion ausführen. Mit anderen Worten, nur Benutzer, die sich mit der Konto-ID 012345678901 in der us-west-2 Region anmelden können, dürfen Aktionen ausführen, die diese spezielle Rolle und Vertrauensbeziehung für den AWS Control Tower Tower-Dienst erfordern, der als bezeichnet istcontroltower.amazonaws.com.

Das nächste Beispiel zeigt die aws:SourceArn Bedingungen aws:SourceAccount und Bedingungen, die für die Vertrauensrichtlinie für Rollen gelten.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

Das Beispiel veranschaulicht die aws:SourceArn Bedingungsanweisung mit einer zusätzlichen aws:SourceAccount Bedingungsanweisung. Weitere Informationen finden Sie unter Vermeiden Sie dienstübergreifendes Identitätsmissbrauchs.

Allgemeine Informationen zu den Berechtigungsrichtlinien in AWS Control Tower finden Sie unterZugriff auf Ressourcen verwalten.

Empfehlungen:

Wir empfehlen, den Rollen, die AWS Control Tower erstellt, Bedingungen hinzuzufügen, da diese Rollen direkt von anderen AWS Diensten übernommen werden. Weitere Informationen finden Sie in dem Beispiel für AWSControlTowerAdmin, das zuvor in diesem Abschnitt gezeigt wurde. Für den AWS Config Recorder-Rolle, wir empfehlen, die aws:SourceArn Bedingung hinzuzufügen und den Config-Recorder ARN als zulässige Quelle anzugebenARN.

Für Rollen wie AWSControlTowerExecutionoder die anderen programmatischen Rollen, die vom AWS Control Tower Audit-Konto in allen verwalteten Konten übernommen werden können, empfehlen wir, die aws:PrincipalOrgID Bedingung zur Vertrauensrichtlinie für diese Rollen hinzuzufügen, wodurch bestätigt wird, dass der Principal, der auf die Ressource zugreift, zu einem Konto im richtigen Format gehört AWS Organisation. Fügen Sie die aws:SourceArn Bedingungsanweisung nicht hinzu, da sie nicht wie erwartet funktioniert.

Anmerkung

Im Falle einer Drift ist es möglich, dass eine AWS Control Tower Tower-Rolle unter bestimmten Umständen zurückgesetzt wird. Es wird empfohlen, die Rollen regelmäßig erneut zu überprüfen, falls Sie sie angepasst haben.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWSControlTowerExecutionRolle

Ressourcen verwalten