Empêchez l'usurpation d'identité entre services - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Empêchez l'usurpation d'identité entre services

En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. Lorsqu'un service appelle un autre service, l'usurpation d'identité entre services se produit si un service manipule un autre service pour utiliser ses autorisations afin d'agir sur les ressources d'un client d'une manière qui n'est pas autorisée autrement. Pour empêcher cette attaque, AWS fournit des outils pour vous aider à protéger vos données, afin que seuls les services disposant d'une autorisation légitime puissent accéder aux ressources de votre compte.

Nous vous recommandons d'utiliser les aws:SourceAccount conditions aws:SourceArn et de vos politiques afin de limiter les autorisations qu'AWS Control Tower accorde à un autre service pour accéder à vos ressources.

  • À utiliser aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à un accès multiservice.

  • À utiliser aws:SourceAccount si vous souhaitez autoriser l'association d'une ressource de ce compte à une utilisation interservices.

  • Si la aws:SourceArn valeur ne contient pas l'ID de compte, tel que l'ARN d'un compartiment Amazon S3, vous devez utiliser les deux conditions pour limiter les autorisations.

  • Si vous utilisez les deux conditions, et si la aws:SourceArn valeur contient l'identifiant du compte, la aws:SourceAccount valeur et le compte inclus dans la aws:SourceArn valeur doivent présenter le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique

Pour plus d’informations et d’exemples, consultez Conditions facultatives pour vos relations de confiance.