Kondisi opsional untuk hubungan kepercayaan peran Anda - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kondisi opsional untuk hubungan kepercayaan peran Anda

Anda dapat menerapkan ketentuan dalam kebijakan kepercayaan peran Anda, untuk membatasi akun dan sumber daya yang berinteraksi dengan peran tertentu di AWS Control Tower. Kami sangat menyarankan Anda membatasi akses ke AWSControlTowerAdmin peran, karena memungkinkan izin akses yang luas.

Untuk membantu mencegah penyerang mendapatkan akses ke sumber daya Anda, edit kebijakan kepercayaan AWS Control Tower Anda secara manual untuk menambahkan setidaknya satu aws:SourceArn atau aws:SourceAccount bersyarat pada pernyataan kebijakan. Sebagai praktik terbaik keamanan, kami sangat menyarankan untuk menambahkan aws:SourceArn kondisi, karena lebih spesifik daripadaaws:SourceAccount, membatasi akses ke akun tertentu dan sumber daya tertentu.

Jika Anda tidak tahu sumber daya yang lengkapARN, atau jika Anda menentukan beberapa sumber daya, Anda dapat menggunakan aws:SourceArn kondisi dengan wildcard (*) untuk bagian yang tidak diketahui dari file. ARN Misalnya, arn:aws:controltower:*:123456789012:* berfungsi jika Anda tidak ingin menentukan Wilayah.

Contoh berikut menunjukkan penggunaan aws:SourceArn IAM kondisi dengan kebijakan kepercayaan IAM peran Anda. Tambahkan kondisi dalam hubungan kepercayaan Anda untuk AWSControlTowerAdminperan tersebut, karena kepala layanan AWS Control Tower berinteraksi dengannya.

Seperti yang ditunjukkan pada contoh, sumbernya ARN adalah format: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Ganti string ${HOME_REGION} dan ${CUSTOMER_AWSACCOUNT_id} dengan wilayah rumah Anda sendiri dan ID akun dari akun panggilan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

Dalam contoh, Sumber yang ARN ditunjuk sebagai arn:aws:controltower:us-west-2:012345678901:* adalah satu-satunya yang ARN diizinkan untuk melakukan sts:AssumeRole tindakan. Dengan kata lain, hanya pengguna yang dapat masuk ke ID akun012345678901, di us-west-2 Wilayah, yang diizinkan untuk melakukan tindakan yang memerlukan peran khusus dan hubungan kepercayaan ini untuk layanan AWS Control Tower, yang ditetapkan sebagaicontroltower.amazonaws.com.

Contoh berikutnya menunjukkan aws:SourceAccount dan aws:SourceArn kondisi yang diterapkan pada kebijakan kepercayaan peran.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

Contoh ini menggambarkan pernyataan aws:SourceArn kondisi, dengan pernyataan aws:SourceAccount kondisi tambahan. Untuk informasi selengkapnya, lihat Mencegah peniruan identitas lintas layanan.

Untuk informasi umum tentang kebijakan izin di AWS Control Tower, lihatKelola akses ke sumber daya.

Rekomendasi:

Kami menyarankan Anda menambahkan kondisi ke peran yang dibuat AWS Control Tower, karena peran tersebut secara langsung diasumsikan oleh AWS layanan lain. Untuk informasi selengkapnya, lihat contoh untuk AWSControlTowerAdmin, yang ditunjukkan sebelumnya di bagian ini. Untuk peran AWS Config perekam, kami sarankan menambahkan aws:SourceArn kondisi, menentukan ARN perekam Config sebagai sumber yang diizinkan. ARN

Untuk peran seperti AWSControlTowerExecutionatau peran terprogram lainnya yang dapat diasumsikan oleh akun Audit AWS Control Tower di semua akun terkelola, kami sarankan Anda menambahkan aws:PrincipalOrgID kondisi ke kebijakan kepercayaan untuk peran ini, yang memvalidasi bahwa prinsipal yang mengakses sumber daya milik akun di organisasi yang benar. AWS Jangan tambahkan pernyataan aws:SourceArn kondisi, karena tidak akan berfungsi seperti yang diharapkan.

catatan

Dalam kasus drift, ada kemungkinan bahwa peran AWS Control Tower dapat diatur ulang dalam keadaan tertentu. Disarankan agar Anda memeriksa kembali peran secara berkala, jika Anda telah menyesuaikannya.