翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービス間の混乱した代理の防止
混乱した代理人とは、別のエンティティから強制的にアクションを実行させられるエンティティ(サービスまたはアカウント)です。これには、クロスアカウントおよびクロスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリ
AWSアカウントのリソースへのアクセスが付与されたサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツールを提供していますAWS アカウント。このセクションでは、Amazon Transcribeに固有のサービス間混乱防止に焦点を当てていますが、このトピックの詳細については、IAMユーザーガイドの「混乱した代理人の問題」セクションを参照してください。
IAMAmazon Transcribeリソースへのアクセス権限を制限するには、aws:SourceArn
aws:SourceAccount
グローバル条件コンテキストキーとリソースポリシーを使用することをお勧めします。
これらのグローバル条件コンテキストキーを両方使用する場合、aws:SourceArn
値に ID が付いた ID が付いた ID が付いたAWS アカウント ID を指定する場合、aws:SourceAccount
値と、AWS アカウント同じポリシーステートメントで使用する場合、値と、それらが同じポリシーステートメントで使用する場合、値と、AWS アカウント値の IDaws:SourceArn
を使用する必要があります。
クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn
を使用します。AWS アカウントその中のリソースをクロスサービスアクセスに関連付ける場合は、を使用してくださいaws:SourceAccount
。
注記
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して、リソースの ARN 全体が付いたaws:SourceArn
グローバル条件コンテキストキーを使用することです。ARN 全体が不明または複数のリソースを指定する場合、ARN の未知部分にワイルドカード (*
) が付いたaws:SourceArn
グローバルコンテキスト条件キーを使用します。例えば、arn:aws:transcribe::
。123456789012
:*
代理人の混乱を防ぐ方法を示す役割を引き受けるポリシーの例については、を参照してください混乱した代理の防止。