Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Optionale Bedingungen für Ihre Rolle, Vertrauensbeziehungen Um Ihrer AWS Control Tower-Umgebung zusätzliche Sicherheitsebenen hinzuzufügen, können Sie in Ihren Richtlinien für die Vertrauensstellung von Rollen Bedingungen festlegen, um die Konten und Ressourcen einzuschränken, die mit bestimmten Rollen in AWS Control Tower interagieren. Sie können beispielsweise den Zugriff auf die `AWSControlTowerAdmin` Rolle weiter einschränken, da sie umfassende Zugriffsberechtigungen ermöglicht. Um zu verhindern, dass ein Bedrohungsakteur Zugriff auf Ihre Ressourcen erhält, bearbeiten Sie Ihre AWS Control Tower Tower-Vertrauensrichtlinie manuell, um der Richtlinienerklärung mindestens eine `aws:SourceArn` oder eine `aws:SourceAccount` Bedingung hinzuzufügen. Als zusätzliche bewährte Sicherheitsmethode können Sie die `aws:SourceArn` Bedingung hinzufügen, da sie spezifischer ist als `aws:SourceAccount` die Beschränkung des Zugriffs auf ein bestimmtes Konto und eine bestimmte Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, können Sie die `aws:SourceArn` Bedingung mit Platzhaltern (\$1) für die unbekannten Teile des ARN verwenden. `arn:aws:controltower:*:123456789012:*`Funktioniert beispielsweise, wenn Sie keine Region angeben möchten. Das folgende Beispiel zeigt die Verwendung der `aws:SourceArn` IAM-Bedingung mit den Vertrauensrichtlinien Ihrer IAM-Rolle. Fügen Sie die Bedingung in Ihrer Vertrauensbeziehung für die **AWSControlTowerAdmin**Rolle hinzu, da der AWS Control Tower Service Principal mit ihr interagiert. Wie im Beispiel gezeigt, hat der Quell-ARN das folgende Format: `arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*` Ersetzen Sie die Zeichenfolgen `${HOME_REGION}` und `${CUSTOMER_AWSACCOUNT_id}` durch Ihre eigene Heimatregion und die Konto-ID des anrufenden Kontos. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ In diesem Beispiel `arn:aws:controltower:us-west-2:012345678901:*` ist der als angegebene Quell-ARN der einzige ARN, der die `sts:AssumeRole` Aktion ausführen darf. Mit anderen Worten, nur Benutzer, die sich mit der Konto-ID `012345678901` in der `us-west-2` Region anmelden können, dürfen Aktionen ausführen, die diese spezielle Rolle und Vertrauensbeziehung für den AWS Control Tower Tower-Service erfordern, der als bezeichnet wird`controltower.amazonaws.com`. Das nächste Beispiel zeigt die `aws:SourceArn` Bedingungen `aws:SourceAccount` und Bedingungen, die für die Vertrauensrichtlinie für Rollen gelten. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "ArnLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ Das Beispiel veranschaulicht die `aws:SourceArn` Bedingungsanweisung mit einer zusätzlichen `aws:SourceAccount` Bedingungsanweisung. Weitere Informationen finden Sie unter [Vermeiden Sie dienstübergreifendes Identitätsmissbrauchs](prevent-confused-deputy.md). Allgemeine Informationen zu Berechtigungsrichtlinien in AWS Control Tower finden Sie unter[Zugriff auf Ressourcen verwalten](access-control-manage-access-intro.md). **Empfehlungen:** Wir empfehlen, den Rollen, die AWS Control Tower erstellt, Bedingungen hinzuzufügen, da diese Rollen direkt von anderen AWS-Services übernommen werden. Weitere Informationen finden Sie in dem Beispiel für **AWSControlTowerAdmin**, das zuvor in diesem Abschnitt gezeigt wurde. Für die AWS Config Recorder-Rolle empfehlen wir, die `aws:SourceArn` Bedingung hinzuzufügen und den Config-Recorder-ARN als zulässigen Quell-ARN anzugeben. Für Rollen wie **AWSControlTowerExecution**oder [andere programmatische Rollen, die vom AWS Control Tower Audit-Konto in allen verwalteten Konten übernommen werden können](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html), empfehlen wir, die `aws:PrincipalOrgID` Bedingung zur Vertrauensrichtlinie für diese Rollen hinzuzufügen, wodurch bestätigt wird, dass der Principal, der auf die Ressource zugreift, zu einem Konto in der richtigen AWS Organisation gehört. Fügen Sie die `aws:SourceArn` Bedingungsanweisung nicht hinzu, da sie nicht wie erwartet funktionieren wird. **Anmerkung** Im Falle einer Abweichung ist es möglich, dass eine AWS Control Tower Tower-Rolle unter bestimmten Umständen zurückgesetzt wird. Es wird empfohlen, die Rollen regelmäßig erneut zu überprüfen, falls Sie sie angepasst haben.