교차 서비스 혼동된 대리인 방지 - Amazon Chime

이 가이드의 단계를 완료하려면 Amazon Chime 시스템 관리자여야 합니다. Amazon Chime 데스크톱 클라이언트, 웹 앱 또는 모바일 앱과 관련하여 도움이 필요한 경우 Amazon Chime 사용 설명서지원 받기를 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 서비스 혼동된 대리인 방지

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티를 호출하여 작업을 수행하도록 하는 경우에 발생합니다. 이를 통해 악의적인 공격자는 실행 또는 액세스할 수 있는 권한이 없는 명령을 실행하거나 리소스를 수정할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서혼동된 대리자 문제를 참조하세요.

에서 서비스 AWS간 가장은 혼동된 대리자 시나리오로 이어질 수 있습니다. 교차 서비스 가장은 한 서비스(직접적으로 호출하는 서비스)가 다른 서비스(직접적으로 호출되는 서비스)를 직접적으로 호출할 때 발생합니다. 악의적인 공격자는 호출 서비스를 활용해 평소에는 없는 권한을 사용하여 다른 서비스의 리소스를 변경할 수 있습니다.

AWS 는 서비스 보안 주체에게 계정의 리소스에 대한 관리형 액세스 권한을 제공하여 리소스의 보안을 보호합니다. 리소스 정책에는 aws:SourceAccount 전역 조건 컨텍스트 키를 사용하는 것이 좋습니다. 이러한 키는 Amazon Chime이 해당 리소스에 대해 다른 서비스에 주는 권한을 제한합니다.

아래의 예제에서는 혼동된 대리인 문제를 방지하는 데 도움이 되는 aws:SourceAccount S3 버킷에 구성된 CallDetailRecords 전역 조건 컨텍스트 키를 사용하는 S3 버킷 정책을 보여줍니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}