翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クロスサービス偽装の防止
In AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。あるサービスが別のサービスを呼び出すとき、あるサービスが別のサービスを操作し、それ以外では許可されていない方法で、お客様のリソースに影響を及ぼす許可を使用した場合、クロスサービス偽装が発生します。この攻撃を防ぐには、 AWS には、正当なアクセス許可を持つサービスのみがアカウント内のリソースにアクセスできるように、データを保護するのに役立つツールが用意されています。
ポリシーの aws:SourceArnおよび aws:SourceAccount条件を使用して、リソースにアクセスするために AWS Control Tower が別のサービスに付与するアクセス許可を制限することをお勧めします。
-
クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、
aws:SourceArnを使用します。 -
クロスサービスが使用できるように、アカウント内の任意のリソースを関連付けたい場合は、
aws:SourceAccountを使用します。 -
aws:SourceArn値に Amazon S3 バケットARNの などのアカウント ID が含まれていない場合は、両方の条件を使用してアクセス許可を制限する必要があります。 Amazon S3 -
両方の条件を使用する場合、および
aws:SourceArnの値にアカウント ID が含まれている場合は、aws:SourceAccountの値と、aws:SourceArnの値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。
詳細な説明と例については、「https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html」を参照してください。
