預防跨服務混淆代理人 - Amazon Transcribe

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

預防跨服務混淆代理人

混淆的副手是由不同實體強制執行動作的實體(服務或帳戶)。這種類型的模擬可能發生跨帳戶和跨服務。

為了預防混代理人,AWS提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您的資料AWS 帳戶。本節重點介紹特定於跨服務混淆的副預防Amazon Transcribe;但是,您可以在IAM用戶指南混淆副問題部分中了解有關此主題的更多信息。

若要限制存取資源Amazon Transcribe的權IAM限,建議您aws:SourceAccount在資源策略中使用全域條件內容索引鍵aws:SourceArn

如果同時使用這兩個全域條件內容索引鍵,且aws:SourceArn值包含AWS 帳戶 ID,則AWS 帳戶在相同政策陳述式中使用時,aws:SourceArn必須使用相同的AWS 帳戶 ID。aws:SourceAccount

如果您想要僅允許一個資源與跨服務存取相關聯,請使用 aws:SourceArn。如果您想要將其中的任何資源AWS 帳戶與跨服務存取相關聯,請使用aws:SourceAccount.

注意

防混混混代理人問題最有效的方法是使用條件內容金鑰,以及其中包含資源的完整 ARNaws:SourceArn如果不知道完整 ARN,或者如果您指定了多個資源,請使用這些aws:SourceArn全域條件內容金鑰,同時使用萬用字元 (*) 表示 ARN 的未知部分。例如:arn:aws:transcribe::123456789012:*

如需假設角色原則的範例,其中顯示如何避免混淆的副問題,請參閱預防混淆代理人政策