防止跨服務模擬 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防止跨服務模擬

In (入) AWS,跨服務模擬可能會導致混淆的副問題。當一個服務呼叫另一個服務時,如果某個服務操縱另一個服務,使用其權限以不允許的方式對客戶的資源採取行動,就會發生跨服務模擬。為了防止這種攻擊, AWS 提供工具來協助您保護資料,以便只有獲得合法權限的服務才能存取您帳戶中的資源。

我們建議您使用政策中的aws:SourceArnaws:SourceAccount條件,以限AWS制 Control Tower 授予其他服務以存取您資源的權限。

  • aws:SourceArn果您只希望一個資源與跨服務存取相關聯,請使用此選項。

  • aws:SourceAccount果您要允許該帳號中的任何資源與跨服務使用相關聯,請使用此選項。

  • 如果aws:SourceArn值不包含帳戶 ID,例如 Amazon S3 儲存貯體的ARN帳戶 ID,您必須使用這兩種條件來限制許可。

  • 如果您同時同時使用這兩種條件,並且該aws:SourceArn值包含帳戶 ID,則該aws:SourceAccount值和帳戶在aws:SourceArn同一保單聲明中使用時必須顯示相同的帳戶 ID

如需詳細資訊和範例,請參閱 https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html