교차 서비스 혼동된 대리인 방지 - Personalize

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 서비스 혼동된 대리인 방지

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 서비스 AWS간 사칭은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(호출하는 서비스)가 다른 서비스(호출되는 서비스)를 직접적으로 호출할 때 발생할 수 있습니다. 직접적으로 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS 에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.

Personalize가 리소스에 다른 서비스를 제공하는 권한을 제한하려면 리소스 정책에서 aws:SourceArnaws:SourceAccount글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다.

Personalize에서 맡은 역할의 대리인 문제가 혼동되지 않도록 역할의 신뢰 정책에서 값을 aws:SourceArn~arn:aws:personalize:region:accountNumber:* 사이로 설정하세요. 와일드카드(*)는 모든 Personalize 리소스에 대한 조건을 적용합니다.

다음 신뢰 관계 정책에서는 Personalize 에게 사용자의 리소스에 대한 액세스 권한을 부여하고 혼동된 대리인 문제를 방지하기 위해 aws:SourceArnaws:SourceAccount전역 조건 컨텍스트 키를 사용합니다. Personalize(Amazon IAM Personalize를 위한 역할 생성)에 대한 역할을 생성할 때는 이 정책을 사용하세요.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "personalize.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountNumber" }, "StringLike": { "aws:SourceArn": "arn:aws:personalize:region:accountNumber:*" } } } ] }