Amazon Managed Service for Apache Flink 之前稱為 Amazon Kinesis Data Analytics for Apache Flink。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
在 中 AWS,當一個服務 (呼叫服務) 呼叫另一個服務 (呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來對其他客戶的資源採取操作,即使該服務不應有適當的許可,導致混淆代理人的問題。
為了防止混淆代理, AWS 提供工具,協助您使用可存取您帳戶中資源的服務主體來保護所有 服務的資料。本節著重於 Managed Service for Apache Flink 特有的跨服務混淆代理預防,但您可以在 IAM 使用者指南 的混淆代理問題區段中進一步了解此主題。
在 Managed Service for Apache Flink 中,我們建議您在角色信任政策中使用 aws:SourceArn 和 aws:SourceAccount 全域條件內容金鑰,將角色的存取限制為僅由預期資源產生的請求。
如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 aws:SourceArn
。如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 aws:SourceAccount
。
的值aws:SourceArn
必須是 Managed Service for Apache Flink 使用的資源ARN的 ,其指定格式如下:arn:aws:kinesisanalytics:region:account:resource
。
建議解決混淆代理問題的方法為使用aws:SourceArn
全域條件內容索引鍵搭配完整資源 ARN。
如果您不知道資源ARN的完整內容,或要指定多個資源,請使用 aws:SourceArn
索引鍵搭配萬用字元 (*) 用於 的未知部分ARN。例如:arn:aws:kinesisanalytics::111122223333:*
。
您提供給 Managed Service for Apache Flink 的角色政策,以及為您產生之角色的信任政策,都可以使用這些索引鍵。
請執行下列步驟以防範混淆代理人問題:
如要防範混淆代理人問題
-
登入 AWS 管理主控台,並在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
選擇角色,然後選擇您要修改的角色。
選擇編輯信任政策。
在編輯信任政策頁面上,將預設JSON政策取代為使用
aws:SourceArn
和aws:SourceAccount
全域條件內容索引鍵之一或兩者的政策。請參閱以下政策範例:選擇 更新政策。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kinesisanalytics.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"Account ID" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app" } } } ] }