Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Condizioni opzionali per il ruolo, le relazioni di fiducia Per aggiungere ulteriori livelli di sicurezza al tuo ambiente AWS Control Tower, puoi imporre condizioni nelle policy di fiducia dei ruoli, per limitare gli account e le risorse che interagiscono con determinati ruoli in AWS Control Tower. Ad esempio, puoi limitare ulteriormente l'accesso al `AWSControlTowerAdmin` ruolo, perché consente ampie autorizzazioni di accesso. Per impedire a un autore di minacce di accedere alle tue risorse, modifica manualmente la policy di fiducia di AWS Control Tower aggiungendone almeno una `aws:SourceArn` o in base a `aws:SourceAccount` determinate condizioni all'informativa sulla policy. Come ulteriore best practice di sicurezza, puoi aggiungere la `aws:SourceArn` condizione, perché è più `aws:SourceAccount` specifica della limitazione dell'accesso a un account specifico e a una risorsa specifica. Se non conosci l'ARN completo della risorsa o se stai specificando più risorse, puoi utilizzare la `aws:SourceArn` condizione con caratteri jolly (\$1) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:controltower:*:123456789012:*` funziona se non desideri specificare una regione. L'esempio seguente dimostra l'uso della condizione `aws:SourceArn` IAM con le policy di fiducia dei ruoli IAM. Aggiungi la condizione nella tua relazione di fiducia per il **AWSControlTowerAdmin**ruolo, perché il responsabile del servizio AWS Control Tower interagisce con esso. Come mostrato nell'esempio, l'ARN di origine ha il formato: `arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*` Sostituisci le stringhe `${HOME_REGION}` `${CUSTOMER_AWSACCOUNT_id}` con la tua regione di residenza e l'ID dell'account chiamante. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ Nell'esempio, l'ARN di origine designato come `arn:aws:controltower:us-west-2:012345678901:*` è l'unico ARN autorizzato a eseguire l'azione. `sts:AssumeRole` In altre parole, solo gli utenti che possono accedere all'ID dell'account`012345678901`, nella `us-west-2` regione, possono eseguire azioni che richiedono questo ruolo specifico e una relazione di fiducia per il servizio AWS Control Tower, designato come`controltower.amazonaws.com`. Il prossimo esempio mostra le `aws:SourceArn` condizioni `aws:SourceAccount` e applicate alla policy di fiducia dei ruoli. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "ArnLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ L'esempio illustra l'istruzione `aws:SourceArn` condizionale, con un'istruzione di `aws:SourceAccount` condizione aggiunta. Per ulteriori informazioni, consulta [Impedisci l'impersonificazione tra servizi](prevent-confused-deputy.md). Per informazioni generali sulle politiche di autorizzazione in AWS Control Tower, consulta[Gestisci l'accesso alle risorse](access-control-manage-access-intro.md). **Raccomandazioni:** Ti consigliamo di aggiungere condizioni ai ruoli creati da AWS Control Tower, poiché tali ruoli vengono assunti direttamente da altri servizi AWS. Per ulteriori informazioni, consulta l'esempio di **AWSControlTowerAdmin**, mostrato in precedenza in questa sezione. Per il ruolo di AWS Config registratore, consigliamo di aggiungere la `aws:SourceArn` condizione, specificando l'ARN del registratore Config come ARN di origine consentito. Per ruoli simili **AWSControlTowerExecution**o [altri ruoli programmatici che possono essere assunti](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html) dall'account AWS Control Tower Audit in tutti gli account gestiti, ti consigliamo di aggiungere la `aws:PrincipalOrgID` condizione alla policy di fiducia per questi ruoli, che verifica che il principale che accede alla risorsa appartenga a un account dell'organizzazione corretta AWS . Non aggiungere l'istruzione `aws:SourceArn` condizionale, perché non funzionerà come previsto. **Nota** In caso di deriva, è possibile che un ruolo di AWS Control Tower venga ripristinato in determinate circostanze. Si consiglia di ricontrollare periodicamente i ruoli, se li hai personalizzati.