Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Empêchez l'usurpation d'identité entre services
Entrée AWS, l'usurpation d'identité interservices peut créer de la confusion chez les adjoints. Lorsqu'un service appelle un autre service, l'usurpation d'identité entre services se produit si un service manipule un autre service pour utiliser ses autorisations afin d'agir sur les ressources d'un client d'une manière qui n'est pas autorisée autrement. Pour empêcher cette attaque, AWS fournit des outils pour vous aider à protéger vos données, afin que seuls les services disposant d'une autorisation légitime puissent accéder aux ressources de votre compte.
Nous vous recommandons d'utiliser les aws:SourceAccount conditions aws:SourceArn et de vos politiques afin de limiter les autorisations que AWS Control Tower accorde à un autre service pour accéder à vos ressources.
-
À utiliser
aws:SourceArnsi vous souhaitez qu'une seule ressource soit associée à un accès multiservice. -
À utiliser
aws:SourceAccountsi vous souhaitez autoriser l'association d'une ressource de ce compte à une utilisation interservices. -
Si la
aws:SourceArnvaleur ne contient pas l'identifiant du compte, comme celui ARN d'un compartiment Amazon S3, vous devez utiliser les deux conditions pour limiter les autorisations. -
Si vous utilisez les deux conditions, et si la
aws:SourceArnvaleur contient l'identifiant du compte, laaws:SourceAccountvaleur et le compte inclus dans laaws:SourceArnvaleur doivent présenter le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique
Pour plus d’informations et d’exemples, consultez https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.
