Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Optionale Bedingungen für Ihre Rolle, Ihre Vertrauensbeziehungen
Sie können in Ihren Richtlinien zur Rollenvertrauensstellung Bedingungen festlegen, um die Konten und Ressourcen einzuschränken, die mit bestimmten Rollen in AWS Control Tower interagieren. Wir empfehlen dringend, den Zugriff auf die AWSControlTowerAdmin
Rolle einzuschränken, da dies weitreichende Zugriffsberechtigungen ermöglicht.
Um zu verhindern, dass ein Angreifer Zugriff auf Ihre Ressourcen erhält, bearbeiten Sie Ihre AWS Control Tower Tower-Vertrauensrichtlinie manuell, um der Richtlinienerklärung mindestens eine aws:SourceArn
oder eine aws:SourceAccount
Bedingung hinzuzufügen. Aus Sicherheitsgründen empfehlen wir dringend, die aws:SourceArn
Bedingung hinzuzufügen, da sie spezifischer ist als aws:SourceAccount
die Beschränkung des Zugriffs auf ein bestimmtes Konto und eine bestimmte Ressource.
Wenn Sie die Ressource nicht vollständig ARN kennen oder wenn Sie mehrere Ressourcen angeben, können Sie die aws:SourceArn
Bedingung mit Platzhaltern (*) für die unbekannten Teile von verwenden. ARN arn:aws:controltower:*:123456789012:*
Funktioniert beispielsweise, wenn Sie keine Region angeben möchten.
Das folgende Beispiel zeigt die Verwendung der aws:SourceArn
IAM Bedingung mit Ihren IAM Rollenvertrauensrichtlinien. Fügen Sie die Bedingung in Ihrer Vertrauensbeziehung für die AWSControlTowerAdminRolle hinzu, da der AWS Control Tower Tower-Servicechef mit ihr interagiert.
Wie im Beispiel gezeigt, hat die Quelle ARN das folgende Format: arn:aws:controltower:
${HOME_REGION}
:${CUSTOMER_AWSACCOUNT_id}
:*
Ersetzen Sie die Zeichenfolgen ${HOME_REGION}
und ${CUSTOMER_AWSACCOUNT_id}
durch Ihre eigene Heimatregion und die Konto-ID des anrufenden Kontos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
In diesem Beispiel ARN darf nur arn:aws:controltower:us-west-2:012345678901:*
die als ARN angegebene Quelle die sts:AssumeRole
Aktion ausführen. Mit anderen Worten, nur Benutzer, die sich mit der Konto-ID 012345678901
in der us-west-2
Region anmelden können, dürfen Aktionen ausführen, die diese spezielle Rolle und Vertrauensbeziehung für den AWS Control Tower Tower-Dienst erfordern, der als bezeichnet istcontroltower.amazonaws.com
.
Das nächste Beispiel zeigt die aws:SourceArn
Bedingungen aws:SourceAccount
und Bedingungen, die für die Vertrauensrichtlinie für Rollen gelten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "StringLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] }
Das Beispiel veranschaulicht die aws:SourceArn
Bedingungsanweisung mit einer zusätzlichen aws:SourceAccount
Bedingungsanweisung. Weitere Informationen finden Sie unter Vermeiden Sie dienstübergreifendes Identitätsmissbrauchs.
Allgemeine Informationen zu den Berechtigungsrichtlinien in AWS Control Tower finden Sie unterZugriff auf Ressourcen verwalten.
Empfehlungen:
Wir empfehlen, den Rollen, die AWS Control Tower erstellt, Bedingungen hinzuzufügen, da diese Rollen direkt von anderen AWS Diensten übernommen werden. Weitere Informationen finden Sie in dem Beispiel für AWSControlTowerAdmin, das zuvor in diesem Abschnitt gezeigt wurde. Für den AWS Config Recorder-Rolle, wir empfehlen, die aws:SourceArn
Bedingung hinzuzufügen und den Config-Recorder ARN als zulässige Quelle anzugebenARN.
Für Rollen wie AWSControlTowerExecutionoder die anderen programmatischen Rollen, die vom AWS Control Tower Audit-Konto in allen verwalteten Konten übernommen werden können, empfehlen wir, die aws:PrincipalOrgID
Bedingung zur Vertrauensrichtlinie für diese Rollen hinzuzufügen, wodurch bestätigt wird, dass der Principal, der auf die Ressource zugreift, zu einem Konto im richtigen Format gehört AWS Organisation. Fügen Sie die aws:SourceArn
Bedingungsanweisung nicht hinzu, da sie nicht wie erwartet funktioniert.
Anmerkung
Im Falle einer Drift ist es möglich, dass eine AWS Control Tower Tower-Rolle unter bestimmten Umständen zurückgesetzt wird. Es wird empfohlen, die Rollen regelmäßig erneut zu überprüfen, falls Sie sie angepasst haben.