As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Condições opcionais para sua função, relações de confiança
Você pode impor condições nas políticas de confiança de sua função para restringir as contas e os recursos que interagem com determinadas funções na AWS Control Tower. É altamente recomendável que você restrinja o acesso à AWSControlTowerAdmin
função, pois ela permite amplas permissões de acesso.
Para ajudar a impedir que um invasor tenha acesso aos seus recursos, edite manualmente sua política de confiança do AWS Control Tower para adicionar pelo menos uma aws:SourceArn
ou uma aws:SourceAccount
condicional à declaração de política. Como prática recomendada de segurança, é altamente recomendável adicionar a aws:SourceArn
condição, porque ela é mais específica do que aws:SourceAccount
limitar o acesso a uma conta específica e a um recurso específico.
Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, poderá usar a aws:SourceArn
condição com curingas (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:controltower:*:123456789012:*
funciona se você não quiser especificar uma região.
O exemplo a seguir demonstra o uso da aws:SourceArn
IAM condição com as políticas de confiança de sua IAM função. Adicione a condição em sua relação de confiança para a AWSControlTowerAdminfunção, porque o diretor de serviço da AWS Control Tower interage com ela.
Conforme mostrado no exemplo, a fonte ARN tem o formato: arn:aws:controltower:
${HOME_REGION}
:${CUSTOMER_AWSACCOUNT_id}
:*
Substitua as sequências ${CUSTOMER_AWSACCOUNT_id}
de caracteres ${HOME_REGION}
e por sua própria região de origem e ID da conta de chamada.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
No exemplo, a Fonte ARN designada como arn:aws:controltower:us-west-2:012345678901:*
é a única ARN autorizada a realizar a sts:AssumeRole
ação. Em outras palavras, somente usuários que podem acessar o ID da conta012345678901
, na us-west-2
Região, podem realizar ações que exijam essa função específica e relação de confiança para o serviço AWS Control Tower, designado comocontroltower.amazonaws.com
.
O próximo exemplo mostra aws:SourceAccount
as aws:SourceArn
condições aplicadas à política de confiança da função.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "StringLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
O exemplo ilustra a declaração aws:SourceArn
condicional, com uma declaração aws:SourceAccount
condicional adicionada. Para obter mais informações, consulte Evite a falsificação de identidade entre serviços.
Para obter informações gerais sobre políticas de permissão na AWS Control Tower, consulteGerencie o acesso aos recursos.
Recomendações:
Recomendamos que você adicione condições às funções criadas pelo AWS Control Tower, porque essas funções são assumidas diretamente por outros AWS serviços. Para obter mais informações, consulte o exemplo de AWSControlTowerAdmin, mostrado anteriormente nesta seção. Para o AWS Config função de gravador, recomendamos adicionar a aws:SourceArn
condição, especificando o gravador ARN Config como a fonte permitida. ARN
Para funções como AWSControlTowerExecutionou outras funções programáticas que podem ser assumidas pela conta AWS Control Tower Audit em todas as contas gerenciadas, recomendamos que você adicione a aws:PrincipalOrgID
condição à política de confiança para essas funções, o que valida que o principal que está acessando o recurso pertence a uma conta correta. AWS organização. Não adicione a declaração de aws:SourceArn
condição, pois ela não funcionará conforme o esperado.
nota
Em caso de desvio, é possível que uma função da AWS Control Tower seja redefinida em determinadas circunstâncias. É recomendável que você verifique novamente as funções periodicamente, caso as tenha personalizado.