Evitar personificação entre serviços - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Evitar personificação entre serviços

Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. Quando um serviço chama outro, a personificação entre serviços ocorre se um serviço manipula o outro para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual ele não é permitido. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta.

Recomendamos o uso das condições aws:SourceArn e aws:SourceAccount em suas políticas para limitar as permissões que o AWS Control Tower concede a outro serviço para acessar seus recursos.

  • Use aws:SourceArn se quiser que apenas um recurso seja associado ao acesso entre serviços.

  • Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.

  • Se o valor de aws:SourceArn não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões.

  • Se utilizar ambas as condições e o valor de aws:SourceArn contiver o ID da conta, o valor de aws:SourceAccount e a conta no valor de aws:SourceArn deverão utilizar o mesmo ID de conta quando usado na mesma instrução de política.

Para ter mais informações e exemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.