サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましによって、混乱した代理問題が発生する場合があります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、AWS では、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで aws:SourceArn
および aws:SourceAccount
のグローバル条件コンテキストキーを使用して、AWS Systems Manager が別のサービスに付与する許可をそのリソースに制限することをお勧めします。aws:SourceArn
値に、S3 バケットの Amazon リソースネーム (ARN) などのアカウント ID が含まれていない場合は、アクセス許可を制限するために、両方のグローバル条件コンテキストキーを使用する必要があります。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID にaws:SourceArn
の値が含まれていない場合、aws:SourceAccount
値と aws:SourceArn
値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn
を使用します。そのアカウント内のどのリソースでもクロスサービス使用に関連付けることを許可する場合、aws:SourceAccount
を使用します。
以下のセクションは AWS Systems Manager 機能におけるポリシーの例を示します。
ハイブリッドアクティベーション ポリシーの例
ハイブリッドアクティベーションで使用されるサービスロールの場合、aws:SourceArn
の値は AWS アカウント の ARN である必要があります。ハイブリッドアクティベーションを作成したときの ARN の AWS リージョン を必ず指定してください。リソースの ARN 全体が不明または複数のリソースを指定する場合、ARN の未知部分にワイルドカード (*
) が付いた aws:SourceArn
グローバルコンテキスト条件キー を使用します。例えば、arn:aws:ssm:*:
と指定します。region
:123456789012
:*
次の例は、オートメーションの aws:SourceArn
および aws:SourceAccount
グローバル条件コンテキストキーを使用して、米国東部 (オハイオ) リージョン (us-east-2) での混乱した使節の問題を防止する方法を示しています。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"
123456789012
" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012
:*" } } } ] }
リソースデータ同期ポリシーの例
Systems Manager Inventory、Explorer、コンプライアンスはリソースデータ同期の作成を実現して、オペレーションデータ (OpsData) のストレージを中央の Amazon Simple Storage Service バケットに一元化できます。AWS Key Management Service (AWS KMS) を使用してリソースデータの同期を暗号化する場合、次のポリシーを含む新しいキーを作成するか、既存のキーを更新してこのポリシーを追加する必要があります。このポリシー内の aws:SourceArn
と aws:SourceAccount
の条件キーは「混乱した使節の問題」を防止します。次の通り、ポリシーの例を示します。
{ "Version": "2012-10-17", "Id": "ssm-access-policy", "Statement": [ { "Sid": "ssm-access-policy-statement", "Action": [ "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Resource": "arn:aws:kms:us-east-2:123456789012:key/
KMS_key_id
", "Condition": { "StringLike": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM" } } } ] }
注記
ポリシー例の ARN は、システムに対して AWS Security Hub を除くすべてのソースにおける OpsData の暗号化を実現します。Security Hub データを暗号化する必要がある場合、たとえば Explorer でSecurity Hub データを収集した場合、次の ARN を指定する追加ポリシーをアタッチする必要があります:
"aws:SourceArn":
"arn:aws:ssm:*:
account-id
:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"