Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prévention du problème de l'adjoint confus entre services
Un adjoint confus est une entité (un service ou un compte) qui est contrainte par une autre entité à effectuer une action. Ce type d'usurpation d'identité peut se produire entre comptes et services.
Pour éviter toute confusion,AWS fournit des outils qui vous aident à protéger vos données pour tous les services en utilisant des principaux de service qui ont eu accès aux ressources de votreCompte AWS. Cette section se concentre sur la prévention de la confusion entre les services des adjoints, en particulier àAmazon Transcribe ; vous pouvez toutefois en savoir plus sur ce sujet dans la section du Guide de l'IAMutilisateur consacrée aux problèmes liés à la confusion des adjoints.
Pour limiter les autorisations d'IAMaccèsAmazon Transcribe à vos ressources, nous vous recommandons d'utiliser les clés de contexte des conditions globales aws:SourceArn
et aws:SourceAccount
dans vos politiques de ressources.
Si vous utilisez ces deux clés de contexte de condition globale et que laaws:SourceArn
valeur contient l'Compte AWSID, laaws:SourceAccount
valeur et leCompte AWS inaws:SourceArn
doivent utiliser le mêmeCompte AWS ID lorsqu'ils sont utilisés dans la même déclaration de politique.
Utilisez aws:SourceArn
si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Si vous souhaitez y associer une ressource àCompte AWS un accès interservice, utilisezaws:SourceAccount
.
Note
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de conditionaws:SourceArn
globale avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de conditionaws:SourceArn
globale avec des caractères génériques (*
) pour les parties inconnues de l'ARN. Par exemple, arn:aws:transcribe::
.123456789012
:*
Pour un exemple de politique d'attribution de rôles qui montre comment vous pouvez éviter un problème de confusion entre adjoints, voirPolitique du député du député confus.