Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Condiciones opcionales para las relaciones de confianza del rol Para agregar capas adicionales de seguridad al entorno de AWS Control Tower, puede imponer condiciones en las políticas de confianza de roles para restringir las cuentas y los recursos que interactúan con determinados roles en AWS Control Tower. Por ejemplo, puede restringir aún más el acceso al rol `AWSControlTowerAdmin`, ya que concede amplios permisos de acceso. Para evitar que alguna amenaza acceda a los recursos, edite manualmente la política de confianza de AWS Control Tower para añadir al menos un `aws:SourceArn` o `aws:SourceAccount` condicional a la instrucción de la política. Como práctica recomendada adicional de seguridad, puede añadir la condición `aws:SourceArn`, ya que es más específica que `aws:SourceAccount`, puesto que limita el acceso a una cuenta y a un recurso específicos. Si no conoce el ARN completo del recurso o si especifica varios recursos, puede utilizar la condición `aws:SourceArn` con comodines (\$1) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:controltower:*:123456789012:*` funciona si no se desea especificar ninguna región. El siguiente ejemplo demuestra el uso de la condición de IAM `aws:SourceArn` con las políticas de confianza del rol de IAM. Añada la condición a su relación de confianza para el **AWSControlTowerAdmin**rol, ya que el director del servicio de la Torre de Control de AWS interactúa con él. Como se muestra en el ejemplo, el ARN de origen tiene el siguiente formato: `arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*` Sustituya las cadenas `${HOME_REGION}` y `${CUSTOMER_AWSACCOUNT_id}` por la propia región de origen y el ID de la cuenta que realiza la llamada. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ En el ejemplo, el ARN de origen designado como `arn:aws:controltower:us-west-2:012345678901:*` es el único ARN permitido para realizar la acción `sts:AssumeRole`. En otras palabras, solo los usuarios que puedan iniciar sesión con el ID de cuenta `012345678901` en la región `us-west-2` pueden realizar acciones que requieran este rol específico y una relación de confianza para el servicio de AWS Control Tower designado como `controltower.amazonaws.com`. En el siguiente ejemplo se muestran las condiciones `aws:SourceAccount` y `aws:SourceArn` que se aplican a la política de confianza del rol. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "ArnLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ En el ejemplo se ilustra la instrucción de condición `aws:SourceArn`, con una instrucción de condición `aws:SourceAccount` añadida. Para obtener más información, consulte [Prevención de la suplantación entre servicios](prevent-confused-deputy.md). Para obtener información general sobre las políticas de permisos en AWS Control Tower, consulte [Administración del acceso a los recursos](access-control-manage-access-intro.md). **Recomendaciones:** Le recomendamos que añada condiciones a los roles que crea AWS Control Tower, ya que esos roles los asumen directamente otros servicios de AWS. Para obtener más información, consulte el ejemplo **AWSControlTowerAdmin**mostrado anteriormente en esta sección. En el caso del rol de grabador de AWS Config , recomendamos añadir la condición `aws:SourceArn` y especificar el ARN de grabador de configuración como el ARN de origen permitido. Para funciones como **AWSControlTowerExecution**las [demás funciones programáticas que puede asumir](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html) la cuenta de auditoría de la Torre de Control Tower de AWS en todas las cuentas administradas, le recomendamos que añada la `aws:PrincipalOrgID` condición a la política de confianza de estas funciones, que valida que el principal que accede al recurso pertenece a una cuenta de la organización correcta AWS . No añada la instrucción de condición `aws:SourceArn`, ya que no funcionará como se espera. **nota** En caso de desviación, es posible que se restablezca un rol de AWS Control Tower en determinadas circunstancias. Se recomienda volver a comprobar los roles periódicamente en caso de que los haya personalizado.