混乱した代理の防止 - Amazon CloudWatch Logs

混乱した代理の防止

混乱した副問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別の顧客のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、AWS では、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールを提供しています。

CloudWatch Logs が Kinesis および Kinesis Data Firehose にデータを書き込む際に付与する権限の範囲を制限するために、リソースポリシーで aws:SourceArn または aws:SourceAccount グローバル条件コンテキストキーを使用することをお勧めします。

aws:SourceArn の値は、データの書き込みと受信を行うアカウントのみに権限を制限する必要があります。

混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定しながら、aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が分からない場合や、複数のリソースを指定する場合は、ARN の不明部分にワイルドカード (*) を使った aws:SourceArn グローバル条件コンテキストキーを使用します。例えば、arn:aws:servicename::123456789012:* です。

送信先を作成するステップ 2: 送信先を作成する の CloudWatch Logs にアクセスを許可して、Kinesis と Kinesis Data Firehose にデータを書き込むためのポリシードキュメントでは、aws:SourceArn グローバル条件コンテキストキーを使用して、混乱した代理の問題を防止する方法を示しています。