Empêchez l'usurpation d'identité entre services - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Empêchez l'usurpation d'identité entre services

DansAWS, l'usurpation d'identité entre services peut entraîner leproblème du député confus. Lorsqu'un service appelle un autre service, une usurpation d'identité entre services se produit si un service manipule un autre service pour utiliser ses autorisations et agir sur les ressources d'un client d'une manière qui n'est pas autrement autorisée. Pour empêcher cette attaque, AWS fournit des outils qui vous aident à protéger vos données, de sorte que seuls les services disposant d'autorisations légitimes puissent accéder aux ressources de votre compte.

Nous vous recommandons d'utiliser leaws:SourceArnetaws:SourceAccountconditions de vos politiques, afin de limiter les autorisations qu'AWS Control Tower accorde à un autre service pour accéder à vos ressources.

  • Utiliseraws:SourceArnsi vous souhaitez qu'une seule ressource soit associée à un accès entre services.

  • Utiliseraws:SourceAccountsi vous souhaitez autoriser une ressource de ce compte à être associée à une utilisation entre services.

  • Si l'icôneaws:SourceArnLa valeur ne contient pas l'ID de compte, tel que l'ARN d'un compartiment Amazon S3, vous devez utiliser les deux conditions pour limiter les autorisations.

  • Si vous utilisez les deux conditions, et siaws:SourceArnLa valeur contient l'ID de compte, leaws:SourceAccountla valeur et le compte dans leaws:SourceArnLa valeur doit afficher le même identifiant de compte lorsqu'elle est utilisée dans la même déclaration de politique

Pour plus d'informations et d'exemples, consultez Conditions facultatives pour votre rôle et vos relations de confiance.