Condições opcionais para sua função, relações de confiança - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Condições opcionais para sua função, relações de confiança

Você pode impor condições nas políticas de confiança de sua função para restringir as contas e os recursos que interagem com determinadas funções na AWS Control Tower. É altamente recomendável que você restrinja o acesso à AWSControlTowerAdmin função, pois ela permite amplas permissões de acesso.

Para ajudar a impedir que um invasor tenha acesso aos seus recursos, edite manualmente sua política de confiança do AWS Control Tower para adicionar pelo menos uma aws:SourceArn ou uma aws:SourceAccount condicional à declaração de política. Como prática recomendada de segurança, é altamente recomendável adicionar a aws:SourceArn condição, porque ela é mais específica do que aws:SourceAccount limitar o acesso a uma conta específica e a um recurso específico.

Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, poderá usar a aws:SourceArn condição com curingas (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:controltower:*:123456789012:* funciona se você não quiser especificar uma região.

O exemplo a seguir demonstra o uso da aws:SourceArn IAM condição com as políticas de confiança de sua IAM função. Adicione a condição em sua relação de confiança para a AWSControlTowerAdminfunção, porque o diretor de serviço da AWS Control Tower interage com ela.

Conforme mostrado no exemplo, a fonte ARN tem o formato: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Substitua as sequências ${CUSTOMER_AWSACCOUNT_id} de caracteres ${HOME_REGION} e por sua própria região de origem e ID da conta de chamada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

No exemplo, a Fonte ARN designada como arn:aws:controltower:us-west-2:012345678901:* é a única ARN autorizada a realizar a sts:AssumeRole ação. Em outras palavras, somente usuários que podem acessar o ID da conta012345678901, na us-west-2 Região, podem realizar ações que exijam essa função específica e relação de confiança para o serviço AWS Control Tower, designado comocontroltower.amazonaws.com.

O próximo exemplo mostra aws:SourceAccount as aws:SourceArn condições aplicadas à política de confiança da função.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

O exemplo ilustra a declaração aws:SourceArn condicional, com uma declaração aws:SourceAccount condicional adicionada. Para obter mais informações, consulte Evite a falsificação de identidade entre serviços.

Para obter informações gerais sobre políticas de permissão na AWS Control Tower, consulteGerencie o acesso aos recursos.

Recomendações:

Recomendamos que você adicione condições às funções criadas pelo AWS Control Tower, porque essas funções são assumidas diretamente por outros AWS serviços. Para obter mais informações, consulte o exemplo de AWSControlTowerAdmin, mostrado anteriormente nesta seção. Para o AWS Config função de gravador, recomendamos adicionar a aws:SourceArn condição, especificando o gravador ARN Config como a fonte permitida. ARN

Para funções como AWSControlTowerExecutionou outras funções programáticas que podem ser assumidas pela conta AWS Control Tower Audit em todas as contas gerenciadas, recomendamos que você adicione a aws:PrincipalOrgID condição à política de confiança para essas funções, o que valida que o principal que está acessando o recurso pertence a uma conta correta. AWS organização. Não adicione a declaração de aws:SourceArn condição, pois ela não funcionará conforme o esperado.

nota

Em caso de desvio, é possível que uma função da AWS Control Tower seja redefinida em determinadas circunstâncias. É recomendável que você verifique novamente as funções periodicamente, caso as tenha personalizado.