でのクロスサービス混乱した代理防止 AWS - Amazon Connect
Amazon Connect Customer ProfilesAmazon Connect Voice IDAmazon Connect チャットメッセージストリームのサービス間の混乱した代理問題の防止

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのクロスサービス混乱した代理防止 AWS

混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐために、 は、アカウント内のリソースへのアクセスが許可されているサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツール AWS を提供します。

リソースポリシー内では aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストキーを使用して、Amazon Connect が別のサービスに付与する、リソースへのアクセス許可を制限することをお勧めします。これらのグローバル条件コンテキストキーの両方を、同じポリシーステートメントで使用する場合、aws:SourceAccount 値と aws:SourceArn 値の中のアカウントには、同じアカウント ID を使用する必要があります。

混乱した代理問題から保護する最も効果的な方法は、許可するリソースの正確な Amazon リソースネーム (ARN) を使用することです。リソースARNの完全版がわからない場合、または複数のリソースを指定している場合は、 の未知の部分にワイルドカード (*) を含むaws:SourceArnグローバルコンテキスト条件キーを使用しますARN。例えば、arn:aws:servicename::region-name::your AWS account ID:* と指定します。

Amazon Connect Customer Profiles サービス間の混乱した代理問題の防止

以下に、他のユーザーが Amazon Connect Customer Profiles の管理者として設定されているケースに適用するポリシーの例を示します。これらのポリシーを使用して、混乱した代理問題を防止します。

Customer Profiles ドメインを作成する Amazon Connect Customer Profiles ポリシーの例

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "profile.amazonaws.com"
    },
    "Action": ["kms:GenerateDataKey", "kms:CreateGrant", "kms:Decrypt"],
    "Resource": [
      "arn:aws:kms:your region-name:your AWS account ID:key/your key ARN"
    ],
    "Condition": {
      "ArnEquals": {
        "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/your Customer Profiles domain name"
      },
      "StringEquals": {
        "aws:SourceAccount": "your AWS account ID"
      }
    }
  }
}

Customer Profiles オブジェクトタイプを作成する Amazon Connect Customer Profiles ポリシーの例

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "profile.amazonaws.com"
    },
    "Action": ["kms:GenerateDataKey", "kms:CreateGrant", "kms:Decrypt"],
    "Resource": [
      "arn:aws:kms:your Region:your AWS account ID:key/your key ARN"
    ],
    "Condition": {
      " ArnEquals": {
        "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/your Customer Profiles domain name/objects/your object type"
      },
      "StringEquals": {
        "aws:SourceAccount": "your AWS account ID"
      }
    }
  }
}

デッドレターキューを作成および更新する Amazon Connect Customer Profiles ポリシーの例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow Amazon Connect Customer Profiles to publish messages to your queue",
      "Effect": "Allow",
      "Principal": {
        "Service": "profile.amazonaws.com"
      },
      "Action": "sqs:SendMessage",
      "Resource": "your dead-letter queue ARN",

      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "your AWS account ID",
          "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/your Customer Profiles domain name"
        }
      }
    }
  ]
}

アイデンティティ解決プロセスの一部として使用される Amazon S3 バケットを保護する Amazon Connect Customer Profiles ポリシーの例

{
    "Sid": "Allow Amazon Connect Customer Profiles to put S3 objects to your bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "profile.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "your AWS account ID"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/*"
        }
    }
}

Amazon Connect Voice ID サービス間の混乱した代理問題の防止

次の Voice ID の例は、混乱した代理問題を防ぐために適用するリソースポリシーを示しています。

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "voiceid.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnEquals": {
        "aws:SourceArn": "arn:aws:voiceid:your region name:your AWS account ID:domain/your Voice ID domain name"
      },
      "StringEquals": {
        "aws:SourceAccount": "your AWS account ID"
      }
    }
  }
}

Amazon Connect チャットメッセージストリームのサービス間の混乱した代理問題の防止

次の Amazon Connect の例は、混乱した代理問題を回避するために適用するリソースポリシーを示しています。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"connect.amazonaws.com"
         },
         "Action":"sns:Publish",
         "Resource":"your SNS topic ARN",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"your AWS account ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"your Amazon Connect instance ARN"
            }
         }
      }
   ]
}