Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez imposer des conditions dans vos politiques de confiance en matière de rôles, afin de restreindre les comptes et les ressources qui interagissent avec certains rôles dans AWS Control Tower. Nous vous recommandons vivement de restreindre l'accès au AWSControlTowerAdmin rôle, car il autorise des autorisations d'accès étendues.
Pour empêcher un attaquant d'accéder à vos ressources, modifiez manuellement votre politique de confiance d'AWS Control Tower pour en ajouter au moins une aws:SourceArn ou une aws:SourceAccount condition à la déclaration de politique. Pour des raisons de sécurité, nous vous recommandons vivement d'ajouter aws:SourceArn cette condition, car elle est plus spécifique que aws:SourceAccount la limitation de l'accès à un compte et à une ressource spécifiques.
Si vous ne connaissez pas l'ARN complet de la ressource, ou si vous spécifiez plusieurs ressources, vous pouvez utiliser la aws:SourceArn condition avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:controltower:*:123456789012:* fonctionne si vous ne souhaitez pas spécifier de région.
L'exemple suivant illustre l'utilisation de la condition aws:SourceArn IAM avec vos politiques de confiance des rôles IAM. Ajoutez cette condition à votre relation de confiance pour le AWSControlTowerAdminrôle, car le principal du service AWS Control Tower interagit avec celui-ci.
Comme indiqué dans l'exemple, l'ARN source est au format suivant : arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*
Remplacez ${HOME_REGION} les chaînes ${CUSTOMER_AWSACCOUNT_id} par votre propre région d'origine et le numéro de compte du compte appelant.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
}
}
}
]
}Dans l'exemple, l'ARN source désigné comme arn:aws:controltower:us-west-2:012345678901:* est le seul ARN autorisé à effectuer l'sts:AssumeRoleaction. En d'autres termes, seuls les utilisateurs qui peuvent se connecter à l'identifiant du compte012345678901, dans la us-west-2 région, sont autorisés à effectuer des actions nécessitant ce rôle spécifique et cette relation de confiance pour le service AWS Control Tower, désigné commecontroltower.amazonaws.com.
L'exemple suivant montre les aws:SourceArn conditions aws:SourceAccount et appliquées à la politique de confiance dans les rôles.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "012345678901"
},
"StringLike": {
"aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*"
}
}
}
]
}L'exemple illustre l'instruction de aws:SourceArn condition, avec une déclaration de aws:SourceAccount condition ajoutée. Pour de plus amples informations, veuillez consulter Empêchez l'usurpation d'identité entre services.
Pour obtenir des informations générales sur les politiques d'autorisation dans AWS Control Tower, consultezGérez l'accès aux ressources.
Recommandations :
Nous vous recommandons d'ajouter des conditions aux rôles créés par AWS Control Tower, car ces rôles sont directement assumés par d'autres services AWS. Pour plus d'informations, consultez l'exemple de AWSControlTowerAdmin, présenté précédemment dans cette section. Pour le rôle d' AWS Config enregistreur, nous recommandons d'ajouter la aws:SourceArn condition, en spécifiant l'ARN de l'enregistreur Config comme ARN source autorisé.
Pour les rôles tels que AWSControlTowerExecutionles rôles programmatiques pouvant être assumés par le compte AWS Control Tower Audit dans tous les comptes gérés, nous vous recommandons d'ajouter la aws:PrincipalOrgID condition à la politique de confiance relative à ces rôles, qui confirme que le principal accédant à la ressource appartient à un compte de la bonne AWS organisation. N'ajoutez pas l'énoncé de aws:SourceArn condition, car il ne fonctionnera pas comme prévu.
Note
En cas de dérive, il est possible qu'un rôle d'AWS Control Tower soit réinitialisé dans certaines circonstances. Il est recommandé de revérifier régulièrement les rôles, si vous les avez personnalisés.
