Impedisci l'impersonificazione tra servizi - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedisci l'impersonificazione tra servizi

Nel AWS, l'impersonificazione trasversale può portare al problema del vicesceriffo confuso. Quando un servizio chiama un altro servizio, si verifica un'impersonificazione tra servizi se un servizio manipola un altro servizio affinché utilizzi le proprie autorizzazioni per agire sulle risorse del cliente in un modo che non sarebbe altrimenti consentito. Per prevenire questo attacco, AWS fornisce strumenti per aiutarti a proteggere i tuoi dati, in modo che solo i servizi con autorizzazione legittima possano accedere alle risorse del tuo account.

Ti consigliamo di utilizzare le aws:SourceAccount condizioni aws:SourceArn e nelle tue policy, per limitare le autorizzazioni che AWS Control Tower concede a un altro servizio per l'accesso alle tue risorse.

  • aws:SourceArnUtilizzalo se desideri associare una sola risorsa all'accesso tra servizi.

  • Utilizza aws:SourceAccount se desideri consentire a qualsiasi risorsa di quell'account di essere associata all'uso tra servizi.

  • Se il aws:SourceArn valore non contiene l'ID dell'account, ad esempio l'ARN per un bucket Amazon S3, devi utilizzare entrambe le condizioni per limitare le autorizzazioni.

  • Se utilizzi entrambe le condizioni e se il aws:SourceArn valore contiene l'ID dell'account, il aws:SourceAccount valore e l'account nel aws:SourceArn valore devono mostrare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica

Per maggiori informazioni ed esempi, consulta https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.