角色信任關係的選用條件 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

角色信任關係的選用條件

您可以在角色信任政策中強加條件,以限制與 AWS Control Tower 中特定角色互動的帳戶和資源。我們強烈建議您限制對 AWSControlTowerAdmin角色的存取,因為它允許廣泛的存取許可。

為了協助防止攻擊者存取您的資源,請手動編輯您的 AWS Control Tower 信任政策,將至少一個aws:SourceArnaws:SourceAccount條件式新增至政策陳述式。作為安全最佳實務,我們強烈建議新增aws:SourceArn條件,因為它比 更具體aws:SourceAccount,限制對特定帳戶和特定資源的存取。

如果您不知道資源ARN的完整內容,或如果您指定多個資源,則可以使用 aws:SourceArn條件搭配萬用字元 (*) 來表示 的未知部分ARN。例如,如果您不想指定區域, arn:aws:controltower:*:123456789012:*就會運作。

下列範例示範 aws:SourceArnIAM條件與IAM角色信任政策搭配使用。在AWSControlTowerAdmin角色的信任關係中新增條件,因為 AWS Control Tower 服務主體會與其互動。

如範例所示,來源的格式ARN如下: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

將字串 ${HOME_REGION}和 取代${CUSTOMER_AWSACCOUNT_id}為您自己的主區域和呼叫帳戶的帳戶 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

在此範例中,ARN指定為 的來源arn:aws:controltower:us-west-2:012345678901:*是唯一ARN允許執行sts:AssumeRole動作的來源。換言之,只有可在 012345678901 us-west-2 區域中登入帳戶 ID 的使用者,才能執行需要 AWS Control Tower 服務此特定角色和信任關係的動作,指定為 controltower.amazonaws.com

下一個範例顯示套用至角色信任政策的 aws:SourceAccountaws:SourceArn條件。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

此範例說明aws:SourceArn條件陳述式,以及新增aws:SourceAccount的條件陳述式。如需詳細資訊,請參閱防止跨服務模擬

如需 AWS Control Tower 中許可政策的一般資訊,請參閱 管理對 資源的存取

建議:

我們建議您將條件新增至 AWS Control Tower 建立的角色,因為這些角色是由其他服務直接擔任AWS。如需詳細資訊,請參閱 的範例AWSControlTowerAdmin,如本節先前所示。對於 AWS Config 記錄器角色,我們建議新增aws:SourceArn條件,將 Config 記錄器指定ARN為允許的來源 ARN。

對於所有受管帳戶中 AWS Control Tower Audit 帳戶可擔任的角色,例如 AWSControlTowerExecution 或其他程式設計角色,我們建議您將 aws:PrincipalOrgID條件新增至這些角色的信任政策,以驗證存取資源的主體是否屬於正確 AWS 組織中的帳戶。 https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#stacksets-and-roles請勿新增aws:SourceArn條件陳述式,因為它將無法如預期般運作。

注意

如果發生偏離,在某些情況下可能會重設 AWS Control Tower 角色。如果您已自訂角色,建議您定期重新檢查角色。