本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
防止跨服务混淆代理
困惑不解的副手是被其他实体强迫采取行动的实体(服务或账户)。这种类型的模拟可以跨账户和跨服务发生。
为了防止人数据的工具,AWS提供可帮助您保护所有服务的工具,而这些服务委托人有权限访问账户中的资源AWS 账户。本节重点介绍专门针对的跨服务混乱副手预防措施Amazon Transcribe;但是,你可以在IAM用户指南的困惑副手问题部分了解有关该主题的更多信息。
为了限制授IAM予的访问您的资源的权限,我们建议在资源策略aws:SourceAccount中使用全局条件上下文密钥aws:SourceArn。Amazon Transcribe
如果使用这两个全局条件上下文键,并且该aws:SourceArn值包含AWS 账户 ID,则AWS 账户在同一策略语句中使用时,aws:SourceArn必须使用相同的AWS 账户 ID。aws:SourceAccount
如果您只希望将一个资源与跨服务访问相关联,请使用 aws:SourceArn。如果您想将其中任何资源AWS 账户与跨服务访问相关联,请使用aws:SourceAccount。
注意
防范混淆代理问题最有效的方法是使用全aws:SourceArn局条件上下文键和资源的完整 ARN。如果您不知道完整 ARN,或者您正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的aws:SourceArn全局上下文条件键。例如,arn:aws:transcribe::。123456789012:*
有关显示如何防止副手问题混淆的代入角色策略的示例,请参阅混淆代理问题防范策略。
