Prévention du problème de l'adjoint confus entre services - Amazon Transcribe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l'adjoint confus entre services

Un adjoint confus est une entité (un service ou un compte) qui est contrainte par une autre entité à effectuer une action. Ce type d'usurpation d'identité peut se produire entre comptes et services.

Pour éviter toute confusion,AWS fournit des outils qui vous aident à protéger vos données pour tous les services en utilisant des principaux de service qui ont eu accès aux ressources de votreCompte AWS. Cette section se concentre sur la prévention de la confusion entre les services des adjoints, en particulier àAmazon Transcribe ; vous pouvez toutefois en savoir plus sur ce sujet dans la section du Guide de l'IAMutilisateur consacrée aux problèmes liés à la confusion des adjoints.

Pour limiter les autorisations d'IAMaccèsAmazon Transcribe à vos ressources, nous vous recommandons d'utiliser les clés de contexte des conditions globales aws:SourceArnet aws:SourceAccountdans vos politiques de ressources.

Si vous utilisez ces deux clés de contexte de condition globale et que laaws:SourceArn valeur contient l'Compte AWSID, laaws:SourceAccount valeur et leCompte AWS inaws:SourceArn doivent utiliser le mêmeCompte AWS ID lorsqu'ils sont utilisés dans la même déclaration de politique.

Utilisez aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Si vous souhaitez y associer une ressource àCompte AWS un accès interservice, utilisezaws:SourceAccount.

Note

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de conditionaws:SourceArn globale avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de conditionaws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:transcribe::123456789012:*.

Pour un exemple de politique d'attribution de rôles qui montre comment vous pouvez éviter un problème de confusion entre adjoints, voirPolitique du député du député confus.