本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
角色信任關係的選擇性條件
您可以在角色信任政策中施加條件,以限制與 AWS Control Tower 中某些角色互動的帳號和資源。強烈建議您限制AWSControlTowerAdmin
角色的存取權,因為它允許廣泛的存取權限。
若要協助防止攻擊者取得您資源的存取權,請手動編輯 AWS Control Tower 信任原則,在原則陳述式中新增至少一個aws:SourceArn
或aws:SourceAccount
條件式。作為安全性最佳作法,我們強烈建議您新增aws:SourceArn
條件,因為它比aws:SourceAccount
限制對特定帳號和特定資源的存取更具體。
如果您不知道資源ARN的完整內容,或者您要指定多個資源,您可以使用具有萬用字元 (*) 的aws:SourceArn
條件來表示ARN. 例如,arn:aws:controltower:*:123456789012:*
如果您不希望指定「區域」,則可以使用。
下面的例子演示了使用aws:SourceArn
IAM條件與您的IAM角色信任策略。在AWSControlTowerAdmin角色的信任關係中新增條件,因為 Con AWS trol Tower 服務主體會與其互動。
如範例所示,來源ARN格式如下:arn:aws:controltower:
${HOME_REGION}
:${CUSTOMER_AWSACCOUNT_id}
:*
替換字符串,${HOME_REGION}
並${CUSTOMER_AWSACCOUNT_id}
使用您自己的主區域和呼叫帳戶的帳戶 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
在此範例中,ARN指定為的「來源」arn:aws:controltower:us-west-2:012345678901:*
是唯一ARN允許執行sts:AssumeRole
動作的「來源」。換句話說,只有可以登錄該us-west-2
地區帳戶 ID 012345678901
的用戶才能執行需要此特定角色和信任關係的操作,AWSControl Tower 服務(指定為)controltower.amazonaws.com
。
下一個範例顯示套用至角色信任原則的aws:SourceAccount
和aws:SourceArn
條件。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "StringLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
此範例說明了aws:SourceArn
條件陳述式,並附加了aws:SourceAccount
條件陳述式。如需詳細資訊,請參閱防止跨服務模擬。
如需「AWSControl Tower」中權限原則的一般資訊,請參閱管理資源存取。
建議:
建議您在 AWS Control Tower 建立的角色中新增條件,因為這些角色是由其他AWS服務直接承擔的。如需詳細資訊,請參閱本節先前所示的範例。AWSControlTowerAdmin對於 AWS Config 記錄器角色,我們建議添加aws:SourceArn
條件,將 Config 記錄器指定ARN為允許的來源ARN。
對於所有受管理帳戶中的 AWS Control Tower Audit 帳戶可以承擔的角色AWSControlTowerExecution或其他程式設計角色,建議您將aws:PrincipalOrgID
條件新增至這些角色的信任策略中,以驗證存取資源的主體是否屬於正確的帳號 AWS 組織。請勿新增aws:SourceArn
條件陳述式,因為它無法如預期般運作。
注意
在漂移的情況下,在某些情況下可能會重置 AWS Control Tower 角色。如果您已自訂角色,建議您定期重新檢查角色。