本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
角色信任关系的可选条件
您可以在角色信任策略中施加条件,以限制与 Cont AWS rol Tower 中某些角色交互的账户和资源。我们强烈建议您限制对该AWSControlTowerAdmin
角色的访问权限,因为它允许广泛的访问权限。
为帮助防止攻击者访问您的资源,请手动编辑您的 Cont AWS rol Tower 信任策略,以便在策略声明中至少添加一个aws:SourceArn
或aws:SourceAccount
有条件的信任策略。作为安全最佳实践,我们强烈建议添加aws:SourceArn
条件,因为它比aws:SourceAccount
限制对特定账户和特定资源的访问权限更为具体。
如果您不知道资源的全部ARN内容,或者要指定多个资源,则可以使用带通配符 (*) 的aws:SourceArn
条件来表示未知部分。ARN例如,如果您不想指定区域,则可以arn:aws:controltower:*:123456789012:*
使用。
以下示例演示了如何将aws:SourceArn
IAM条件与您的IAM角色信任策略结合使用。在您的信任关系中添加该AWSControlTowerAdmin角色的条件,因为 Cont AWS rol Tower 服务主体会与之交互。
如示例所示,源代码ARN的格式为:arn:aws:controltower:
${HOME_REGION}
:${CUSTOMER_AWSACCOUNT_id}
:*
将字符串${HOME_REGION}
和${CUSTOMER_AWSACCOUNT_id}
替换为您自己的家庭区域和主叫账户的账户 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
在示例中,ARN指定为的来源arn:aws:controltower:us-west-2:012345678901:*
是唯一ARN允许执行sts:AssumeRole
操作的来源。换句话说,只有us-west-2
在该地区能够登录账户 ID 012345678901
的用户才能执行需要该特定角色和信任关系的 Cont AWS rol Tower 服务(指定为)的操作controltower.amazonaws.com
。
下一个示例显示了应用于角色信任策略的aws:SourceAccount
和aws:SourceArn
条件。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "StringLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
该示例说明了aws:SourceArn
条件语句,并添加了aws:SourceAccount
条件语句。有关更多信息,请参阅 防止跨服务模仿。
有关 Cont AWS rol Tower 中权限策略的一般信息,请参阅管理对资源的访问权限。
建议:
我们建议您为 Cont AWS rol Tower 创建的角色添加条件,因为这些角色由其他AWS服务直接担任。有关更多信息,请参阅本节前面所示的示例。AWSControlTowerAdmin对于 AWS Config 录制器角色,我们建议添加aws:SourceArn
条件,将 Config 记录器指定ARN为允许的来源ARN。
对于所有托管账户中的 Cont AWS rol Tower Audit 账户可以担任的角色(例如或其他编程角色),我们建议您在这些角色的信任策略中添加aws:PrincipalOrgID
条件,以验证访问资源的委托人是否属于正确的账户 AWSControlTowerExecution AWS 组织。请勿添加aws:SourceArn
条件语句,因为它无法按预期工作。
注意
如果出现偏移,则在某些情况下可能会重置 Cont AWS rol Tower 角色。如果您对角色进行了自定义,建议您定期重新检查这些角色。