Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evite la suplantación de identidad entre servicios
En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. Cuando un servicio llama a otro servicio, la suplantación de identidad entre servicios se produce si un servicio manipula a otro servicio para que utilice sus permisos y actúe con los recursos de un cliente de una forma que de otro modo no estaría permitida. Para evitar este ataque, AWS proporciona herramientas que te ayudan a proteger tus datos, de forma que solo los servicios que cuenten con un permiso legítimo puedan acceder a los recursos de tu cuenta.
Le recomendamos que utilice las aws:SourceAccount
condiciones aws:SourceArn
y de sus políticas para limitar los permisos que AWS Control Tower concede a otro servicio para acceder a sus recursos.
-
aws:SourceArn
Utilícelo si desea que solo un recurso esté asociado al acceso entre servicios. -
aws:SourceAccount
Utilícelo si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios. -
Si el
aws:SourceArn
valor no contiene el ID de la cuenta, como el ARN de un bucket de Amazon S3, debe utilizar ambas condiciones para limitar los permisos. -
Si usa ambas condiciones y si el
aws:SourceArn
valor contiene el ID de cuenta, elaws:SourceAccount
valor y la cuenta que figura en elaws:SourceArn
valor deben mostrar el mismo ID de cuenta cuando se utilicen en la misma declaración de política
Para obtener más información y ejemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.