Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vermeiden Sie dienstübergreifendes Identitätsmissbrauchs
In der AWS Tat kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit verwirrten Stellvertretern führen. Wenn ein Dienst einen anderen Dienst anruft, kommt es zu einem dienstübergreifenden Identitätswechsel, wenn ein Dienst einen anderen Dienst manipuliert, um dessen Berechtigungen zu nutzen, um auf die Ressourcen eines Kunden in einer Weise zu reagieren, die ansonsten nicht zulässig wäre. Um diesen Angriff zu verhindern, AWS bietet es Tools, die Sie beim Schutz Ihrer Daten unterstützen, sodass nur Dienste mit berechtigter Genehmigung auf Ressourcen in Ihrem Konto zugreifen können.
Wir empfehlen, die aws:SourceAccount Bedingungen aws:SourceArn und in Ihren Richtlinien zu verwenden, um die Berechtigungen zu beschränken, die AWS Control Tower einem anderen Service für den Zugriff auf Ihre Ressourcen gewährt.
-
Verwenden Sie
aws:SourceArndiese Option, wenn Sie möchten, dass nur eine Ressource mit dem dienstübergreifenden Zugriff verknüpft wird. -
Verwenden Sie diese Option,
aws:SourceAccountwenn Sie zulassen möchten, dass jede Ressource in diesem Konto der dienstübergreifenden Nutzung zugeordnet wird. -
Wenn der
aws:SourceArnWert die Konto-ID nicht enthält, z. B. den ARN für einen Amazon S3 S3-Bucket, müssen Sie beide Bedingungen verwenden, um die Berechtigungen einzuschränken. -
Wenn Sie beide Bedingungen verwenden und der
aws:SourceArnWert die Konto-ID enthält, müssen deraws:SourceAccountWert und das Konto imaws:SourceArnWert dieselbe Konto-ID aufweisen, wenn sie in derselben Richtlinienerklärung verwendet werden
Weitere Informationen und Beispiele finden Sie unter https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.
