ロールの信頼関係のオプションの条件 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ロールの信頼関係のオプションの条件

ロールの信頼ポリシーに条件を課して、AWSControl Tower の特定のロールとやり取りするアカウントとリソースを制限できます。AWSControlTowerAdmin ロールは幅広いアクセスを許可するため、このロールへのアクセスを制限することを強くお勧めします。

攻撃者がリソースにアクセスできないようにするには、AWSControl Tower の信頼ポリシーを手動で編集して、ポリシーステートメントに少なくとも 1 つの aws:SourceArnまたは aws:SourceAccount条件を追加します。セキュリティのベストプラクティスとして、aws:SourceArn 条件を追加することを強くお勧めします。これは aws:SourceAccount より具体的であり、特定のアカウントと特定のリソースへのアクセスを制限するためです。

リソースARNの全体がわからない場合、または複数のリソースを指定する場合は、 の不明な部分にワイルドカード (*) で aws:SourceArn条件を使用できますARN。例えば、arn:aws:controltower:*:123456789012:* は、リージョンを指定しない場合に機能します。

次の例は、IAMロール信頼ポリシーで aws:SourceArnIAM条件を使用する方法を示しています。AWS Control Tower サービスプリンシパルがロールを操作するため、AWSControlTowerAdminロールの信頼関係に 条件を追加します。

この例に示すように、ソースは次の形式ARNです。 arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

文字列 ${HOME_REGION} および ${CUSTOMER_AWSACCOUNT_id} を、自身のホームリージョンと呼び出しアカウントのアカウント ID で置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

この例では、 としてARN指定されたソースarn:aws:controltower:us-west-2:012345678901:*が、 sts:AssumeRoleアクションの実行をARN許可されている唯一の です。つまり、 us-west-2リージョン012345678901でアカウント ID にサインインできるユーザーのみが、 として指定された AWS Control Tower サービスのこの特定のロールと信頼関係を必要とするアクションを実行できますcontroltower.amazonaws.com

次の例は、ロールの信頼ポリシーに適用される aws:SourceAccount 条件と aws:SourceArn 条件を示しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

この例は、aws:SourceAccount 条件ステートメントが追加された、aws:SourceArn 条件ステートメントを示しています。詳細については、「クロスサービス偽装の防止」を参照してください。

AWS Control Tower のアクセス許可ポリシーの一般的な情報については、「」を参照してくださいリソースへのアクセスの管理

推奨事項:

AWS Control Tower が作成するロールに条件を追加することをお勧めします。これらのロールは他の AWSサービスによって直接引き受けられるためです。詳細については、このセクションで前述した AWSControlTowerAdminの例を参照してください。 AWS Config レコーダーロールの場合は、 aws:SourceArn条件を追加し、Config レコーダーを許可されたソース ARNとして指定することをお勧めしますARN。

などのロールAWSControlTowerExecutionや、すべてのマネージドアカウントの AWS Control Tower Audit アカウントが引き受けることができるその他のプログラムロールについては、これらのロールの信頼ポリシーに aws:PrincipalOrgID条件を追加することをお勧めします。これにより、リソースにアクセスするプリンシパルが正しい AWS 組織のアカウントに属していることを検証します。aws:SourceArn 条件ステートメントは期待どおりに機能しないため、追加しないでください。

注記

ドリフトの場合、特定の状況下で AWS Control Tower ロールがリセットされる可能性があります。ロールをカスタマイズしている場合は、ロールを定期的に再確認することをお勧めします。