翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon WorkSpaces アプリケーションサービス間の混乱した代理の防止 混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制するというセキュリティ問題です。 AWSでは、サービス間でのなりすましにより、混乱した代理問題に対してアカウントリソースが脆弱になることがあります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出されたサービス*) を呼び出すときに発生します。呼び出し元サービスが呼び出されたサービスを操作し、そのアクセス許可を使用して、呼び出し元サービスが自身で実行するアクセス許可を持っていない方法で、顧客のリソースに対して処理を実行する可能性があります。これを防ぐために、 は、アカウント内のリソースにアクセスできるサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツール AWS を提供します。 リソースポリシーで `aws:SourceArn` および `aws:SourceAccount` のグローバル条件コンテキストキーを使用して、それらのリソースにアクセスするときにアクセス許可を制限することをお勧めします。以下のガイドラインでは、これらのキーを使用してリソースを保護する場合の推奨事項と要件を詳しく説明しています。 + クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。 + 指定されたアカウント内の任意のリソースを、クロスサービスによる使用に関連付ける場合は、`aws:SourceAccount` を使用します。 + `aws:SourceArn` キーにアカウント ID が含まれていない場合、アクセス許可を制限するためには、これら両方のグローバル条件コンテキストキー (`aws:SourceArn` および `aws:SourceAccount`) を使用する必要があります。 + 両方のグローバル条件コンテキストキーを使用しており、`aws:SourceArn` の値にアカウント ID が含まれる場合、それらが同じポリシーステートメントで使用されるときは、`aws:SourceAccount` キーは同じアカウント ID を使用する必要があります。 混乱した代理問題を回避するための最も効果的な方法は、許可するリソースに正確な Amazon リソースネーム (ARN) を使用することです。リソースの完全な ARN が不明な場合は、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の不明な部分を示すためにワイルドカード (\* など) を使用します。複数のリソースを指定する場合は、ARN でワイルドカードを使用することもできます。例えば、ARN を `arn:aws:{{servicename}}::{{region-name}}::{{your AWS アカウント ID}}:*` のようにフォーマットできます。 **Topics** + [例: WorkSpaces アプリケーションサービスロールのサービス間の混乱した代理の防止](example-confused-deputy.md) + [例: WorkSpaces アプリケーションフリートマシンロールのサービス間の混乱した代理の防止](example-fleet-machine.md) + [例: WorkSpaces Applications Elastic フリートセッションスクリプト Amazon S3 バケットポリシーのサービス間の混乱した代理の防止](example-elastic-fleets.md) + [例: WorkSpaces アプリケーション Amazon S3 バケットポリシーのサービス間の混乱した代理の防止](example-s3-bucket.md)