Evitar personificação entre serviços

Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. Quando um serviço chama outro, a personificação entre serviços ocorre se um serviço manipula o outro para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual ele não é permitido. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta.

Recomendamos o uso das condições aws:SourceArn e aws:SourceAccount em suas políticas para limitar as permissões que o AWS Control Tower concede a outro serviço para acessar seus recursos.

Use aws:SourceArn se quiser que apenas um recurso seja associado ao acesso entre serviços.
Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
Se o valor de aws:SourceArn não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões.
Se utilizar ambas as condições e o valor de aws:SourceArn contiver o ID da conta, o valor de aws:SourceAccount e a conta no valor de aws:SourceArn deverão utilizar o mesmo ID de conta quando usado na mesma instrução de política.

Para ter mais informações e exemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar perfil e atribuir permissões

Políticas do IAM para o AWS Control Tower