기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
크로스 서비스 사칭 방지
In AWS서비스 간 사칭은 대리인 혼동을 야기할 수 있습니다. 한 서비스가 다른 서비스를 호출할 때 서비스 간 사칭은 한 서비스가 다른 서비스를 조작하여 다른 방식으로는 허용되지 않는 방식으로 권한을 사용하여 고객의 리소스에 대해 조치를 취하는 경우 발생합니다. 이 공격을 방지하려면 AWS 합법적인 권한을 가진 서비스만 계정의 리소스에 액세스할 수 있도록 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
정책의 aws:SourceArn
및 aws:SourceAccount
조건을 사용하여 AWS Control Tower가 리소스에 액세스할 수 있도록 다른 서비스에 부여하는 권한을 제한하는 것이 좋습니다.
-
서비스 간 액세스에 리소스를 하나만 연결하려는
aws:SourceArn
경우에 사용하세요. -
aws:SourceAccount
해당 계정의 모든 리소스를 서비스 간 사용에 연결할 수 있도록 허용하려는 경우에 사용합니다. -
aws:SourceArn
값에 계정 ID (예: Amazon S3 버킷의 ARN 경우) 가 포함되지 않은 경우 두 조건을 모두 사용하여 권한을 제한해야 합니다. -
두 조건을 모두 사용하고
aws:SourceArn
값에 계정 ID가 포함된 경우, 동일한 정책 설명에서 사용할 때aws:SourceArn
값의 값과 계정이 동일한 계정 ID를 표시해야 합니다.aws:SourceAccount
자세한 정보와 지침은 https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html을 참조하세요.