지원 종료 알림: 2026년 2월 20일에 Amazon Chime 서비스에 대한 지원이 AWS 종료됩니다. 2026년 2월 20일 이후에는 Amazon Chime 콘솔 또는 Amazon Chime 애플리케이션 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 블로그 게시물
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티를 호출하여 작업을 수행하도록 하는 경우에 발생합니다. 이를 통해 악의적인 공격자는 실행 또는 액세스할 수 있는 권한이 없는 명령을 실행하거나 리소스를 수정할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 혼동된 대리자 문제를 참조하세요.
에서 AWS교차 서비스 위장은 혼동된 대리자 시나리오로 이어질 수 있습니다. 교차 서비스 가장은 한 서비스(직접적으로 호출하는 서비스)가 다른 서비스(직접적으로 호출되는 서비스)를 직접적으로 호출할 때 발생합니다. 악의적인 공격자는 호출 서비스를 활용해 평소에는 없는 권한을 사용하여 다른 서비스의 리소스를 변경할 수 있습니다.
AWS 는 리소스의 보안을 보호하는 데 도움이 되도록 계정의 리소스에 대한 관리형 액세스 권한을 서비스 보안 주체에게 제공합니다. 리소스 정책에는 aws:SourceAccount 전역 조건 컨텍스트 키를 사용하는 것이 좋습니다. 이러한 키는 Amazon Chime이 해당 리소스에 대해 다른 서비스에 주는 권한을 제한합니다.
아래의 예제에서는 혼동된 대리인 문제를 방지하는 데 도움이 되는 aws:SourceAccount S3 버킷에 구성된 CallDetailRecords 전역 조건 컨텍스트 키를 사용하는 S3 버킷 정책을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonChimeAclCheck668426", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-cdr-bucket" }, { "Sid": "AmazonChimeWrite668426", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::your-cdr-bucket/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "112233446677" } } } ] }
