本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
在AWS,當一個服務時,可能會發生跨服務模擬 (呼叫服務) 呼叫其他服務 (稱為服務). 呼叫服務可以被操縱以對其他客戶的資源採取行動,即使它不應該具有適當的權限,從而導致混淆的副問題。
為了預防這種情況,AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議您使用aws:SourceArn和aws:SourceAccount資源政策中的全域條件內容金鑰,可限制 Amazon Rekognition 為資源提供其他服務的許可。
如果值aws:SourceArn不包含帳戶識別碼 (例如 Amazon S3 儲存貯體 ARN),您必須使用這兩個金鑰來限制許可。如果您同時使用鍵和aws:SourceArn值包含帳戶 ID,aws:SourceAccount價值和帳戶aws:SourceArn在同一個保單聲明中使用時,價值必須使用相同的帳戶 ID。
如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 aws:SourceArn。如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 aws:SourceAccount。
的價值aws:SourceArn必須是 Rekognition 所使用之資源的 ARN,並以下列格式指定:arn:aws:rekognition:region:account:resource。
的價值arn:User ARN應該是將呼叫視訊分析作業的使用者 (擔任角色的使用者) 的 ARN。
混淆副問題的推薦方法是使用aws:SourceArn具有完整資源 ARN 的全局條件上下文鍵。
如果您不知道資源的完整 ARN,或者您要指定多個資源,請使用aws:SourceArn含萬用字元的金鑰 (*) 對於 ARN 的未知部分。例如:arn:aws:。rekognition:*:111122223333:*
為了防止混淆的副問題,執行以下步驟:
-
在 IAM 主控台的導覽窗格中,選擇角色選項。主控台會顯示您目前帳戶的角色。
-
選擇您要修改的角色名稱。您修改的角色應具有AmazonRekognitionServiceRole權限原則。選擇信任關係標籤。
-
選擇 Edit trust policy (編輯信任政策)。
-
在「」編輯信任原則」頁面上,以使用其中一個或兩者的政策取代預設 JSON 政策
aws:SourceArn和aws:SourceAccount全域條件上下文索引鍵。請參閱下列範例原則。 -
選擇 Update policy (更新政策)。
下列範例是信任原則,說明如何使用aws:SourceArn和aws:SourceAccount亞馬遜 Rekognition 中的全局條件上下文鍵,以防止混淆的副問題。
如果您正在使用儲存和串流影片,您可以在 IAM 角色中使用類似下列的政策:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"rekognition.amazonaws.com", "AWS":"arn:User ARN" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"Account ID" }, "StringLike":{ "aws:SourceArn":"arn:aws:rekognition:region:111122223333:streamprocessor/*" } } } ] }
如果您只使用儲存的影片,您可以在 IAM 角色中使用類似下列的政策 (請注意,您不需要包含StringLike引數,指定streamprocessor):
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"rekognition.amazonaws.com", "AWS":"arn:User ARN" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"Account ID" } } } ] }
