기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
혼동된 대리자 문제를 제한하는 예
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 서비스 AWS간 사칭은 혼동된 대리자 문제를 초래할 수 있습니다. 자세한 내용은 교차 서비스 혼동된 대리인 방지를 참조하세요.
참고
다음 예에서는 각각을 바꿉니다.user input placeholder
자신의 정보를 사용합니다.
이 예제에서는 서버에 연결된 워크플로가 없는 경우 워크플로의 ARN 세부 정보를 제거할 수 있습니다.
다음 로깅/인보이스 정책 예제에서는 계정의 모든 서버(및 워크플로)가 역할을 수임하도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllServersWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:transfer:region
:account-id
:server/*", "arn:aws:transfer:region
:account-id
:workflow/*" ] } } } ] }
다음 예제 로깅/인보이스 정책을 통해 특정 서버(및 워크플로)가 역할을 수임할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificServerWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:transfer:region
:account-id
:server/server-id
", "arn:aws:transfer:region
:account-id
:workflow/workflow-id
" ] } } } ] }