역할 신뢰 관계를 위한 선택적 조건 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

역할 신뢰 관계를 위한 선택적 조건

역할 신뢰 정책에 조건을 부과하여 AWS Control Tower의 특정 역할과 상호 작용하는 계정 및 리소스를 제한할 수 있습니다. 광범위한 액세스 권한을 허용하므로 AWSControlTowerAdmin 역할에 대한 액세스를 제한하는 것이 좋습니다.

공격자가 리소스에 액세스하지 못하도록 하려면 AWS Control Tower 신뢰 정책을 수동으로 편집하여 정책 문에 하나 이상의 aws:SourceArn 또는 aws:SourceAccount 조건을 추가합니다. 보안 모범 사례로 aws:SourceArn 조건을 추가하는 것이 좋습니다. 이것은 aws:SourceAccount보다 더 구체적이며, 특정 계정 및 특정 리소스에 대한 액세스를 제한하기 때문입니다.

전체 ARN 리소스를 모르거나 여러 리소스를 지정하는 경우의 알 수 없는 부분에 와일드카드(*)와 함께 aws:SourceArn 조건을 사용할 수 있습니다ARN. 예를 들어, 리전을 지정하지 않으려는 경우 arn:aws:controltower:*:123456789012:*를 사용하면 됩니다.

다음 예제에서는 IAM 역할 신뢰 정책과 함께 aws:SourceArn IAM 조건을 사용하는 방법을 보여줍니다. AWS Control Tower 서비스 보안 주체가 AWSControlTowerAdmin 역할의 신뢰 관계에 조건을 추가합니다.

예제와 같이 소스는 형식ARN입니다. arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

${HOME_REGION}${CUSTOMER_AWSACCOUNT_id} 문자열을 호출 계정의 자체 홈 리전 및 계정 ID로 바꿉니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

이 예제에서는 로 ARN 지정된 소스arn:aws:controltower:us-west-2:012345678901:*sts:AssumeRole 작업을 ARN 수행할 수 있습니다. 즉, us-west-2 리전012345678901에서 계정 ID에 로그인할 수 있는 사용자만 로 지정된 AWS Control Tower 서비스에 대해이 특정 역할 및 신뢰 관계가 필요한 작업을 수행할 수 있습니다controltower.amazonaws.com.

다음 예제에서는 역할 신뢰 정책에 적용된 aws:SourceAccountaws:SourceArn 조건을 보여줍니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

이 예제는 aws:SourceAccount 조건 문이 추가된 aws:SourceArn 조건 문을 보여줍니다. 자세한 내용은 교차 서비스 가장 방지 단원을 참조하십시오.

AWS Control Tower의 권한 정책에 대한 일반적인 내용은 섹션을 참조하세요리소스 액세스 관리.

권장 사항:

AWS Control Tower가 생성하는 역할에 조건을 추가하는 것이 좋습니다. 이러한 역할은 다른 AWS 서비스에서 직접 수임하기 때문입니다. 자세한 내용은이 단원의 앞부분에 AWSControlTowerAdmin표시된의 예제를 참조하세요. AWS Config 레코더 역할의 경우 aws:SourceArn 조건을 추가하고 Config 레코더를 허용된 소스 ARN로 지정하는 것이 좋습니다ARN.

또는 모든 관리형 계정AWSControlTowerExecution의 AWS Control Tower Audit 계정에서 수임할 수 있는 기타 프로그래밍 방식 역할과 같은 역할의 경우, 이러한 역할에 대한 신뢰 정책에 aws:PrincipalOrgID 조건을 추가하는 것이 좋습니다.이 정책은 리소스에 액세스하는 보안 주체가 올바른 AWS 조직의 계정에 속해 있는지 확인합니다. aws:SourceArn 조건문은 예상대로 작동하지 않으므로 추가하지 마세요.

참고

드리프트의 경우 특정 상황에서 AWS Control Tower 역할을 재설정할 수 있습니다. 역할을 사용자 지정한 경우 주기적으로 역할을 다시 확인하는 것이 좋습니다.