角色信任关系的可选条件 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

角色信任关系的可选条件

您可以在角色信任策略中施加条件,以限制与 Cont AWS rol Tower 中某些角色交互的账户和资源。我们强烈建议您限制对该AWSControlTowerAdmin角色的访问权限,因为它允许广泛的访问权限。

为帮助防止攻击者访问您的资源,请手动编辑您的 Cont AWS rol Tower 信任策略,以便在策略声明中至少添加一个aws:SourceArnaws:SourceAccount有条件的信任策略。作为安全最佳实践,我们强烈建议添加aws:SourceArn条件,因为它比aws:SourceAccount限制对特定账户和特定资源的访问权限更为具体。

如果您不知道资源的全部ARN内容,或者要指定多个资源,则可以使用带通配符 (*) 的aws:SourceArn条件来表示未知部分。ARN例如,如果您不想指定区域,则可以arn:aws:controltower:*:123456789012:*使用。

以下示例演示了如何将aws:SourceArnIAM条件与您的IAM角色信任策略结合使用。在您的信任关系中添加该AWSControlTowerAdmin角色的条件,因为 Cont AWS rol Tower 服务主体会与之交互。

如示例所示,源代码ARN的格式为:arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

将字符串${HOME_REGION}${CUSTOMER_AWSACCOUNT_id}替换为您自己的家庭区域和主叫账户的账户 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

在示例中,ARN指定为的来源arn:aws:controltower:us-west-2:012345678901:*是唯一ARN允许执行sts:AssumeRole操作的来源。换句话说,只有us-west-2在该地区能够登录账户 ID 012345678901 的用户才能执行需要该特定角色和信任关系的 Cont AWS rol Tower 服务(指定为)的操作controltower.amazonaws.com

下一个示例显示了应用于角色信任策略的aws:SourceAccountaws:SourceArn条件。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

该示例说明了aws:SourceArn条件语句,并添加了aws:SourceAccount条件语句。有关更多信息,请参阅 防止跨服务模仿

有关 Cont AWS rol Tower 中权限策略的一般信息,请参阅管理对资源的访问权限

建议:

我们建议您为 Cont AWS rol Tower 创建的角色添加条件,因为这些角色由其他AWS服务直接担任。有关更多信息,请参阅本节前面所示的示例。AWSControlTowerAdmin对于 AWS Config 录制器角色,我们建议添加aws:SourceArn条件,将 Config 记录器指定ARN为允许的来源ARN。

对于所有托管账户中的 Cont AWS rol Tower Audit 账户可以担任的角色(例如或其他编程角色),我们建议您在这些角色的信任策略中添加aws:PrincipalOrgID条件,以验证访问资源的委托人是否属于正确的账户 AWSControlTowerExecution AWS 组织。请勿添加aws:SourceArn条件语句,因为它无法按预期工作。

注意

如果出现偏移,则在某些情况下可能会重置 Cont AWS rol Tower 角色。如果您对角色进行了自定义,建议您定期重新检查这些角色。