角色信任關係的選擇性條件 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

角色信任關係的選擇性條件

您可以在角色信任政策中施加條件,以限制與 AWS Control Tower 中某些角色互動的帳號和資源。強烈建議您限制AWSControlTowerAdmin角色的存取權,因為它允許廣泛的存取權限。

若要協助防止攻擊者取得您資源的存取權,請手動編輯 AWS Control Tower 信任原則,在原則陳述式中新增至少一個aws:SourceArnaws:SourceAccount條件式。作為安全性最佳作法,我們強烈建議您新增aws:SourceArn條件,因為它比aws:SourceAccount限制對特定帳號和特定資源的存取更具體。

如果您不知道資源ARN的完整內容,或者您要指定多個資源,您可以使用具有萬用字元 (*) 的aws:SourceArn條件來表示ARN. 例如,arn:aws:controltower:*:123456789012:*如果您不希望指定「區域」,則可以使用。

下面的例子演示了使用aws:SourceArnIAM條件與您的IAM角色信任策略。在AWSControlTowerAdmin角色的信任關係中新增條件,因為 Con AWS trol Tower 服務主體會與其互動。

如範例所示,來源ARN格式如下:arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*

替換字符串,${HOME_REGION}${CUSTOMER_AWSACCOUNT_id}使用您自己的主區域和呼叫帳戶的帳戶 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

在此範例中,ARN指定為的「來源」arn:aws:controltower:us-west-2:012345678901:* 是唯一ARN允許執行sts:AssumeRole動作的「來源」。換句話說,只有可以登錄該us-west-2地區帳戶 ID 012345678901 的用戶才能執行需要此特定角色和信任關係的操作,AWSControl Tower 服務(指定為)controltower.amazonaws.com

下一個範例顯示套用至角色信任原則的aws:SourceAccountaws:SourceArn條件。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "controltower.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "012345678901"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
        }
      }
    }
  ]
}

此範例說明了aws:SourceArn條件陳述式,並附加了aws:SourceAccount條件陳述式。如需詳細資訊,請參閱防止跨服務模擬

如需「AWSControl Tower」中權限原則的一般資訊,請參閱管理資源存取

建議:

建議您在 AWS Control Tower 建立的角色中新增條件,因為這些角色是由其他AWS服務直接承擔的。如需詳細資訊,請參閱本節先前所示的範例。AWSControlTowerAdmin對於 AWS Config 記錄器角色,我們建議添加aws:SourceArn條件,將 Config 記錄器指定ARN為允許的來源ARN。

對於所有受管理帳戶中的 AWS Control Tower Audit 帳戶可以承擔的角色AWSControlTowerExecution或其他程式設計角色,建議您將aws:PrincipalOrgID條件新增至這些角色的信任策略中,以驗證存取資源的主體是否屬於正確的帳號 AWS 組織。請勿新增aws:SourceArn條件陳述式,因為它無法如預期般運作。

注意

在漂移的情況下,在某些情況下可能會重置 AWS Control Tower 角色。如果您已自訂角色,建議您定期重新檢查角色。