As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Condições opcionais para as relações de confiança do perfil Para adicionar camadas de segurança a seu ambiente do AWS Control Tower, você pode impor condições nas políticas de confiança do perfil para restringir as contas e os recursos que interagem com determinados perfis no AWS Control Tower. Por exemplo, você pode restringir ainda mais o acesso ao perfil `AWSControlTowerAdmin`, pois ele permite amplas permissões de acesso. Para ajudar a impedir que um invasor tenha acesso aos seus recursos, edite manualmente sua política de confiança do AWS Control Tower para adicionar pelo menos um `aws:SourceArn` ou `aws:SourceAccount` condicional à instrução da política. Como prática recomendada adicional de segurança, você pode adicionar a condição `aws:SourceArn`, porque ela é mais específica do que `aws:SourceAccount`, limitando o acesso a uma conta específica e a um recurso específico. Se não souber o ARN completo do recurso ou estiver especificando vários recursos, você poderá usar a condição `aws:SourceArn` com curingas (\$1) para as partes desconhecidas do ARN. Por exemplo, `arn:aws:controltower:*:123456789012:*` funciona se você não quiser especificar uma região. O exemplo a seguir demonstra o uso da condição `aws:SourceArn` do IAM com suas políticas de confiança do perfil do IAM. Adicione a condição à sua relação de confiança para a **AWSControlTowerAdmin**função, pois o responsável pelo serviço AWS Control Tower interage com ela. Conforme mostrado no exemplo, o ARN de origem tem o formato: `arn:aws:controltower:${HOME_REGION}:${CUSTOMER_AWSACCOUNT_id}:*` Substitua as strings `${HOME_REGION}` e `${CUSTOMER_AWSACCOUNT_id}` e por sua própria região de origem e ID da conta de chamada. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ No exemplo, o ARN de origem designado como `arn:aws:controltower:us-west-2:012345678901:*` é o único ARN autorizado a realizar a ação `sts:AssumeRole`. Em outras palavras, somente usuários que podem acessar o ID da conta `012345678901`, na região `us-west-2`, podem realizar ações que exijam esse perfil específico e relação de confiança para o serviço AWS Control Tower, designado como`controltower.amazonaws.com`. O próximo exemplo mostra as condições `aws:SourceAccount` e `aws:SourceArn` aplicadas à política de confiança do perfil. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "012345678901" }, "ArnLike": { "aws:SourceArn": "arn:aws:controltower:us-west-2:012345678901:*" } } } ] } ``` ------ O exemplo ilustra a instrução de condição `aws:SourceArn`, com uma instrução de condição `aws:SourceAccount` adicionada. Para obter mais informações, consulte [Evitar personificação entre serviços](prevent-confused-deputy.md). Consulte informações gerais sobre políticas de permissão no AWS Control Tower em [Gerenciar acesso a recursos](access-control-manage-access-intro.md). **Recomendações:** Recomendamos que você adicione condições aos perfis que o AWS Control Tower cria, porque esses perfis são assumidos diretamente por outros serviços da AWS. Para obter mais informações, consulte o exemplo de **AWSControlTowerAdmin**, mostrado anteriormente nesta seção. Para o perfil de gravador do AWS Config , recomendamos adicionar a condição `aws:SourceArn`, especificando o ARN do gravador do Config como o ARN de origem permitido. Para funções como **AWSControlTowerExecution**ou [outras funções programáticas que podem ser assumidas](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html) pela conta de auditoria do AWS Control Tower em todas as contas gerenciadas, recomendamos que você adicione a `aws:PrincipalOrgID` condição à política de confiança dessas funções, o que valida que o principal que acessa o recurso pertence a uma conta na organização correta AWS . Não adicione a instrução da condição `aws:SourceArn`, pois ela não funcionará conforme o esperado. **nota** Em caso de desvio, é possível que um perfil do AWS Control Tower seja redefinido em determinadas circunstâncias. É recomendável que você verifique novamente os perfis periodicamente, caso os tenha personalizado.