Condições opcionais para as relações de confiança do perfil - AWS Control Tower

Condições opcionais para as relações de confiança do perfil

Você pode impor condições nas políticas de confiança do perfil para restringir as contas e os recursos que interagem com determinados perfis no AWS Control Tower. É altamente recomendável que você restrinja o acesso ao perfil AWSControlTowerAdmin, pois ele permite amplas permissões de acesso.

Para ajudar a impedir que um invasor tenha acesso aos seus recursos, edite manualmente sua política de confiança do AWS Control Tower para adicionar pelo menos um aws:SourceArn ou aws:SourceAccount condicional à instrução da política. Como prática recomendada de segurança, é altamente recomendável adicionar a condição aws:SourceArn, porque ela é mais específica do que aws:SourceAccount, limitando o acesso a uma conta específica e a um recurso específico.

Se não souber o ARN completo do recurso ou estiver especificando vários recursos, você poderá usar a condição aws:SourceArn com curingas (*) para as partes desconhecidas do ARN. Por exemplo, arn:aws:controltower:*:123456789012:* funciona se você não quiser especificar uma região.

O exemplo a seguir demonstra o uso da condição aws:SourceArn do IAM com suas políticas de confiança do perfil do IAM. Adicione a condição à sua relação de confiança para o perfil AWSControlTowerAdmin, pois a entidade principal do serviço AWS Control Tower interage com ela.

Conforme mostrado no exemplo, o ARN de origem tem o formato: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

Substitua as strings ${HOME_REGION} e ${CUSTOMER_AWSACCOUNT_id} e por sua própria região de origem e ID da conta de chamada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

No exemplo, o ARN de origem designado como arn:aws:controltower:us-west-2:012345678901:* é o único ARN autorizado a realizar a ação sts:AssumeRole. Em outras palavras, somente usuários que podem acessar o ID da conta 012345678901, na região us-west-2, podem realizar ações que exijam esse perfil específico e relação de confiança para o serviço AWS Control Tower, designado comocontroltower.amazonaws.com.

O próximo exemplo mostra as condições aws:SourceAccount e aws:SourceArn aplicadas à política de confiança do perfil.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

O exemplo ilustra a instrução de condição aws:SourceArn, com uma instrução de condição aws:SourceAccount adicionada. Consulte mais informações em Evitar personificação entre serviços.

Consulte informações gerais sobre políticas de permissão no AWS Control Tower em Gerenciar acesso a recursos.

Recomendações:

Recomendamos que você adicione condições aos perfis que o AWS Control Tower cria, porque esses perfis são assumidos diretamente por outros serviços da AWS. Consulte mais informações no exemplo de AWSControlTowerAdmin, mostrado anteriormente nesta seção. Para o perfil de gravador do AWS Config, recomendamos adicionar a condição aws:SourceArn, especificando o ARN do gravador do Config como o ARN de origem permitido.

Para perfis como AWSControlTowerExecution ou outros perfis programáticos que podem ser assumidos pela conta de auditoria do AWS Control Tower em todas as contas gerenciadas, recomendamos que você adicione a condição aws:PrincipalOrgID à política de confiança para esses perfis, o que valida que a entidade principal que acessa o recurso pertence a uma conta na organização da AWS correta. Não adicione a instrução da condição aws:SourceArn, pois ela não funcionará conforme o esperado.

nota

Em caso de desvio, é possível que um perfil do AWS Control Tower seja redefinido em determinadas circunstâncias. É recomendável que você verifique novamente os perfis periodicamente, caso os tenha personalizado.