Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können in Ihren Richtlinien zur Rollenvertrauensstellung Bedingungen festlegen, um die Konten und Ressourcen einzuschränken, die mit bestimmten Rollen in AWS Control Tower interagieren. Wir empfehlen dringend, den Zugriff auf die AWSControlTowerAdmin Rolle einzuschränken, da dies weitreichende Zugriffsberechtigungen ermöglicht.
Um zu verhindern, dass ein Angreifer Zugriff auf Ihre Ressourcen erhält, bearbeiten Sie Ihre AWS Control Tower Tower-Vertrauensrichtlinie manuell, um der Richtlinienerklärung mindestens eine aws:SourceArn oder eine aws:SourceAccount Bedingung hinzuzufügen. Aus Sicherheitsgründen empfehlen wir dringend, die aws:SourceArn Bedingung hinzuzufügen, da sie spezifischer ist als aws:SourceAccount die Beschränkung des Zugriffs auf ein bestimmtes Konto und eine bestimmte Ressource.
Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, können Sie die aws:SourceArn Bedingung mit Platzhaltern (*) für die unbekannten Teile des ARN verwenden. arn:aws:controltower:*:123456789012:*Funktioniert beispielsweise, wenn Sie keine Region angeben möchten.
Das folgende Beispiel zeigt die Verwendung der aws:SourceArn IAM-Bedingung mit den Vertrauensrichtlinien Ihrer IAM-Rolle. Fügen Sie die Bedingung in Ihrer Vertrauensbeziehung für die AWSControlTowerAdminRolle hinzu, da der AWS Control Tower Service Principal mit ihr interagiert.
Wie im Beispiel gezeigt, hat der Quell-ARN das folgende Format: arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*
Ersetzen Sie die Zeichenfolgen ${HOME_REGION} und ${CUSTOMER_AWSACCOUNT_id} durch Ihre eigene Heimatregion und die Konto-ID des anrufenden Kontos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
}
}
}
]
}In diesem Beispiel arn:aws:controltower:us-west-2:012345678901:* ist der als angegebene Quell-ARN der einzige ARN, der die sts:AssumeRole Aktion ausführen darf. Mit anderen Worten, nur Benutzer, die sich mit der Konto-ID 012345678901 in der us-west-2 Region anmelden können, dürfen Aktionen ausführen, die diese spezielle Rolle und Vertrauensbeziehung für den AWS Control Tower Tower-Service erfordern, der als bezeichnet wirdcontroltower.amazonaws.com.
Das nächste Beispiel zeigt die aws:SourceArn Bedingungen aws:SourceAccount und Bedingungen, die für die Vertrauensrichtlinie für Rollen gelten.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "012345678901"
},
"StringLike": {
"aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
}
}
}
]
}Das Beispiel veranschaulicht die aws:SourceArn Bedingungsanweisung mit einer zusätzlichen aws:SourceAccount Bedingungsanweisung. Weitere Informationen finden Sie unter Vermeiden Sie dienstübergreifenden Identitätswechsel.
Allgemeine Informationen zu Berechtigungsrichtlinien in AWS Control Tower finden Sie unterZugriff auf Ressourcen verwalten.
Empfehlungen:
Wir empfehlen, den Rollen, die AWS Control Tower erstellt, Bedingungen hinzuzufügen, da diese Rollen direkt von anderen AWS-Services übernommen werden. Weitere Informationen finden Sie in dem Beispiel für AWSControlTowerAdmin, das zuvor in diesem Abschnitt gezeigt wurde. Für die AWS Config Recorder-Rolle empfehlen wir, die aws:SourceArn Bedingung hinzuzufügen und den Config-Recorder-ARN als zulässigen Quell-ARN anzugeben.
Für Rollen wie AWSControlTowerExecutionoder andere programmatische Rollen, die vom AWS Control Tower Audit-Konto in allen verwalteten Konten übernommen werden können, empfehlen wir, die aws:PrincipalOrgID Bedingung zur Vertrauensrichtlinie für diese Rollen hinzuzufügen, wodurch bestätigt wird, dass der Principal, der auf die Ressource zugreift, zu einem Konto in der richtigen AWS Organisation gehört. Fügen Sie die aws:SourceArn Bedingungsanweisung nicht hinzu, da sie nicht wie erwartet funktionieren wird.
Anmerkung
Im Falle einer Abweichung ist es möglich, dass eine AWS Control Tower Tower-Rolle unter bestimmten Umständen zurückgesetzt wird. Es wird empfohlen, die Rollen regelmäßig erneut zu überprüfen, falls Sie sie angepasst haben.
