Condizioni opzionali per il ruolo, le relazioni di fiducia - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condizioni opzionali per il ruolo, le relazioni di fiducia

Puoi imporre condizioni nelle tue politiche di fiducia dei ruoli, per limitare gli account e le risorse che interagiscono con determinati ruoli in AWS Control Tower. Ti consigliamo vivamente di limitare l'accesso al AWSControlTowerAdmin ruolo, perché consente ampie autorizzazioni di accesso.

Per evitare che un utente malintenzionato ottenga l'accesso alle tue risorse, modifica manualmente la policy di fiducia di AWS Control Tower aggiungendone almeno una aws:SourceArn o a aws:SourceAccount determinate condizioni all'informativa. Come best practice di sicurezza, consigliamo vivamente di aggiungere la aws:SourceArn condizione, perché è più aws:SourceAccount specifica della limitazione dell'accesso a un account specifico e a una risorsa specifica.

Se non conosci l'intera ARN risorsa o se stai specificando più risorse, puoi utilizzare la aws:SourceArn condizione con caratteri jolly (*) per le parti sconosciute di. ARN Ad esempio, arn:aws:controltower:*:123456789012:* funziona se non desideri specificare una regione.

L'esempio seguente dimostra l'uso della aws:SourceArn IAM condizione con le policy di fiducia relative al IAM ruolo. Aggiungi la condizione nella tua relazione di fiducia per il AWSControlTowerAdminruolo, perché il responsabile del servizio AWS Control Tower interagisce con esso.

Come mostrato nell'esempio, la fonte ha ARN il formato: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Sostituisci le stringhe ${HOME_REGION} ${CUSTOMER_AWSACCOUNT_id} con la tua regione di origine e l'ID dell'account chiamante.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

Nell'esempio, la Source ARN designata come arn:aws:controltower:us-west-2:012345678901:* è l'unica ARN autorizzata a eseguire l'sts:AssumeRoleazione. In altre parole, solo gli utenti che possono accedere all'ID dell'account012345678901, nella us-west-2 regione, possono eseguire azioni che richiedono questo ruolo specifico e una relazione di fiducia per il servizio AWS Control Tower, designato comecontroltower.amazonaws.com.

L'esempio successivo mostra le aws:SourceArn condizioni aws:SourceAccount e applicate alla politica di fiducia dei ruoli.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

L'esempio illustra l'istruzione aws:SourceArn condizionale, con un'istruzione di aws:SourceAccount condizione aggiunta. Per ulteriori informazioni, consulta Impedisci l'impersonificazione tra servizi.

Per informazioni generali sulle politiche di autorizzazione in AWS Control Tower, vedereGestisci l'accesso alle risorse.

Raccomandazioni:

Si consiglia di aggiungere condizioni ai ruoli creati da AWS Control Tower, poiché tali ruoli vengono assunti direttamente da altri AWS servizi. Per ulteriori informazioni, vedere l'esempio di AWSControlTowerAdmin, mostrato in precedenza in questa sezione. Per il AWS Config ruolo del registratore, si consiglia di aggiungere la aws:SourceArn condizione, specificando il registratore ARN Config come fonte consentita. ARN

Per ruoli simili AWSControlTowerExecutiono per gli altri ruoli programmatici che possono essere assunti dall'account AWS Control Tower Audit in tutti gli account gestiti, si consiglia di aggiungere la aws:PrincipalOrgID condizione alla politica di fiducia per questi ruoli, che convalida che il principale che accede alla risorsa appartenga a un account nel modo corretto AWS organizzazione. Non aggiungete l'istruzione aws:SourceArn condizionale, perché non funzionerà come previsto.

Nota

In caso di deriva, è possibile che un ruolo AWS della Control Tower venga ripristinato in determinate circostanze. Si consiglia di ricontrollare periodicamente i ruoli, se li avete personalizzati.