Mencegah peniruan identitas lintas layanan - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencegah peniruan identitas lintas layanan

Masuk AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Ketika satu layanan memanggil layanan lain, peniruan identitas lintas layanan terjadi jika satu layanan memanipulasi layanan lain untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan dengan cara yang tidak diizinkan. Untuk mencegah serangan ini, AWS menyediakan alat untuk membantu Anda melindungi data Anda, sehingga hanya layanan dengan izin yang sah yang dapat memperoleh akses ke sumber daya di akun Anda.

Sebaiknya gunakan aws:SourceArn dan aws:SourceAccount ketentuan dalam kebijakan Anda, untuk membatasi izin yang diberikan AWS Control Tower ke layanan lain untuk akses ke sumber daya Anda.

  • Gunakan aws:SourceArn jika Anda hanya ingin satu sumber daya dikaitkan dengan akses lintas layanan.

  • Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun itu dikaitkan dengan penggunaan lintas layanan.

  • Jika aws:SourceArn nilainya tidak berisi ID akun, seperti bucket Amazon S3, Anda harus menggunakan kedua kondisi tersebut untuk membatasi izin. ARN

  • Jika Anda menggunakan kedua kondisi, dan jika aws:SourceArn nilainya berisi ID akun, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menunjukkan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama

Untuk informasi selengkapnya dan contoh tambahan, lihat https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.