Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Kondisi opsional untuk hubungan kepercayaan peran Anda Untuk menambahkan lapisan keamanan tambahan ke lingkungan AWS Control Tower, Anda dapat menerapkan ketentuan dalam kebijakan kepercayaan peran Anda, untuk membatasi akun dan sumber daya yang berinteraksi dengan peran tertentu di AWS Control Tower. Misalnya, Anda dapat membatasi akses ke `AWSControlTowerAdmin` peran lebih lanjut, karena memungkinkan izin akses yang luas. Untuk membantu mencegah pelaku ancaman mendapatkan akses ke sumber daya Anda, edit kebijakan kepercayaan AWS Control Tower Anda secara manual untuk menambahkan setidaknya satu `aws:SourceArn` atau `aws:SourceAccount` bersyarat pada pernyataan kebijakan. Sebagai praktik terbaik keamanan tambahan, Anda dapat menambahkan `aws:SourceArn` kondisi, karena lebih spesifik daripada`aws:SourceAccount`, membatasi akses ke akun tertentu dan sumber daya tertentu. Jika Anda tidak mengetahui ARN lengkap sumber daya, atau jika Anda menentukan beberapa sumber daya, Anda dapat menggunakan `aws:SourceArn` kondisi dengan wildcard (\$1) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:controltower:*:123456789012:*` berfungsi jika Anda tidak ingin menentukan Wilayah. Contoh berikut menunjukkan penggunaan kondisi `aws:SourceArn` IAM dengan kebijakan kepercayaan peran IAM Anda. Tambahkan kondisi dalam hubungan kepercayaan Anda untuk **AWSControlTowerAdmin**peran tersebut, karena prinsipal layanan AWS Control Tower berinteraksi dengannya. Seperti yang ditunjukkan pada contoh, sumber ARN adalah format: `arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*` Ganti string `${HOME_REGION}` dan `${CUSTOMER_AWSACCOUNT_id}` dengan wilayah rumah Anda sendiri dan ID akun dari akun panggilan. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ Dalam contoh, Sumber ARN ditunjuk sebagai satu-satunya `arn:aws:controltower:us-west-2:012345678901:*` ARN yang diizinkan untuk melakukan tindakan. `sts:AssumeRole` Dengan kata lain, hanya pengguna yang dapat masuk ke ID akun`012345678901`, di `us-west-2` Wilayah, yang diizinkan untuk melakukan tindakan yang memerlukan peran dan hubungan kepercayaan khusus ini untuk layanan AWS Control Tower, yang ditetapkan sebagai`controltower.amazonaws.com`. Contoh berikutnya menunjukkan `aws:SourceAccount` dan `aws:SourceArn` kondisi yang diterapkan pada kebijakan kepercayaan peran. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "ArnLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ Contoh ini menggambarkan pernyataan `aws:SourceArn` kondisi, dengan pernyataan `aws:SourceAccount` kondisi tambahan. Untuk informasi selengkapnya, lihat [Mencegah peniruan identitas lintas layanan](prevent-confused-deputy.md). Untuk informasi umum tentang kebijakan izin di AWS Control Tower, lihat[Kelola akses ke sumber daya](access-control-manage-access-intro.md). **Rekomendasi:** Kami menyarankan Anda menambahkan kondisi ke peran yang dibuat AWS Control Tower, karena peran tersebut secara langsung diasumsikan oleh layanan AWS lainnya. Untuk informasi selengkapnya, lihat contoh untuk **AWSControlTowerAdmin**, yang ditunjukkan sebelumnya di bagian ini. Untuk peran AWS Config perekam, kami sarankan menambahkan `aws:SourceArn` kondisi, menentukan ARN perekam Config sebagai ARN sumber yang diizinkan. Untuk peran seperti **AWSControlTowerExecution**atau [peran terprogram lainnya yang dapat diasumsikan](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html) oleh akun AWS Control Tower Audit di semua akun terkelola, kami sarankan Anda menambahkan `aws:PrincipalOrgID` kondisi ke kebijakan kepercayaan untuk peran ini, yang memvalidasi bahwa prinsipal yang mengakses sumber daya milik akun di organisasi yang benar. AWS Jangan tambahkan pernyataan `aws:SourceArn` kondisi, karena tidak akan berfungsi seperti yang diharapkan. **catatan** Dalam kasus drift, ada kemungkinan bahwa peran AWS Control Tower dapat diatur ulang dalam keadaan tertentu. Disarankan agar Anda memeriksa kembali peran secara berkala, jika Anda telah menyesuaikannya.