Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Impedisci l'impersonificazione tra servizi
In AWS, l'impersonificazione trasversale può portare alla confusione del vicesceriffo. Quando un servizio chiama un altro servizio, si verifica un'impersonificazione tra servizi se un servizio manipola un altro servizio affinché utilizzi le proprie autorizzazioni per agire sulle risorse del cliente in un modo che non sarebbe altrimenti consentito. Per prevenire questo attacco, AWS fornisce strumenti per aiutarti a proteggere i tuoi dati, in modo che solo i servizi con autorizzazione legittima possano accedere alle risorse del tuo account.
Ti consigliamo di utilizzare le aws:SourceAccount
condizioni aws:SourceArn
e nelle tue politiche per limitare le autorizzazioni che AWS Control Tower concede a un altro servizio per l'accesso alle tue risorse.
-
aws:SourceArn
Utilizzatela se desiderate associare una sola risorsa all'accesso tra servizi. -
Utilizza
aws:SourceAccount
se desideri consentire a qualsiasi risorsa di quell'account di essere associata all'uso tra servizi. -
Se il
aws:SourceArn
valore non contiene l'ID dell'account, ad esempio quello ARN per un bucket Amazon S3, devi utilizzare entrambe le condizioni per limitare le autorizzazioni. -
Se utilizzi entrambe le condizioni e se il
aws:SourceArn
valore contiene l'ID dell'account, ilaws:SourceAccount
valore e l'account nelaws:SourceArn
valore devono mostrare lo stesso ID account se utilizzati nella stessa dichiarazione politica
Per maggiori informazioni ed esempi, consulta https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.