As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Evitar personificação entre serviços
Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. Quando um serviço chama outro, a personificação entre serviços ocorre se um serviço manipula o outro para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual ele não é permitido. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta.
Recomendamos o uso das condições aws:SourceArn
e aws:SourceAccount
em suas políticas para limitar as permissões que o AWS Control Tower concede a outro serviço para acessar seus recursos.
-
Use
aws:SourceArn
se quiser que apenas um recurso seja associado ao acesso entre serviços. -
Use
aws:SourceAccount
se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. -
Se o valor de
aws:SourceArn
não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões. -
Se utilizar ambas as condições e o valor de
aws:SourceArn
contiver o ID da conta, o valor deaws:SourceAccount
e a conta no valor deaws:SourceArn
deverão utilizar o mesmo ID de conta quando usado na mesma instrução de política.
Para ter mais informações e exemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.