As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Evite a falsificação de identidade entre serviços
Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. Quando um serviço chama outro serviço, a falsificação de identidade entre serviços ocorre se um serviço manipula outro serviço para usar suas permissões para agir sobre os recursos do cliente de uma forma que não seria permitida de outra forma. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta.
Recomendamos usar as aws:SourceAccount
condições aws:SourceArn
e em suas políticas para limitar as permissões que a AWS Control Tower concede a outro serviço para acessar seus recursos.
-
Use
aws:SourceArn
se quiser que somente um recurso seja associado ao acesso entre serviços. -
Use
aws:SourceAccount
se quiser permitir que qualquer recurso dessa conta seja associado ao uso entre serviços. -
Se o
aws:SourceArn
valor não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões. -
Se você usar as duas condições e se o
aws:SourceArn
valor contiver o ID da conta, oaws:SourceAccount
valor e a conta noaws:SourceArn
valor deverão mostrar o mesmo ID da conta quando usados na mesma declaração de política
Para ter mais informações e exemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.