サービス間での不分別な代理処理の防止

混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間でなりすましを行うと、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、あるサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスを操作すれば、アクセス許可がない場合に、それ自身のアクセス許可を使用して、別の顧客のリソースに働きかけることができます。これを防ぐために、Amazon Web Servicesでは、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス許可が付与されたサービスプリンシパルを使用します。

リソースポリシーで aws:SourceArnおよび aws:SourceAccount グローバル条件コンテキストキーを使用して、 がリソースにアクセスするために別のサービス AWS Audit Manager に付与するアクセス許可を制限することをお勧めします。

• クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。複数のリソースを指定する場合は、aws:SourceArnでワイルドカード (*) を使用することもできます。

  たとえば、Amazon SNS トピックを使用して、Audit Manager からアクティビティ通知を受け取ることができます。この場合、SNS トピックアクセスポリシーでは、aws:SourceArn のARN値は通知の送信元である Audit Manager リソースです。Audit Manager リソースは複数ある可能性が高いため、ワイルドカードでaws:SourceArnを使用することをおすすめします。これにより、SNS トピックアクセスポリシーですべての Audit Manager リソースを指定できます。

• そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、aws:SourceAccount を使用します。

• Amazon S3 バケットの ARN などのアカウント ID が、aws:SourceArn 値に含まれていない場合、アクセス許可を制限するためには、これら両方のグローバル条件コンテキストキーを使用する必要があります。

• 両方の条件を使用する場合、および aws:SourceArn の値にアカウント ID が含まれている場合は、aws:SourceAccount の値と、aws:SourceArn の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。

• 混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースの完全なAmazon リソースネーム (ARN)が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー aws:SourceArn で、ARN の未知部分を示すためにワイルドカード文字 (*) を使用します。例えば arn:aws:servicename:*:123456789012:* です。

Audit Managerの混乱した代理サポート

Audit Manager は、次のようなシナリオで混乱した代理サポートを提供します。これらのポリシーの例では、aws:SourceArn およびaws:SourceAccountの条件キーを使用して、混乱した代理問題を回避する方法を示します。

• ポリシー例:Audit Manager 通知の受信に使用する SNS トピック

• ポリシー例:SNS トピックの暗号化に使用する KMS キー

Audit Manager は、Audit Manager データ暗号化 設定で指定した顧客管理キーについて、混乱した代理サポートを提供しません。独自のカスタマー管理キーを提供した場合、その KMS キーポリシーの aws:SourceAccount または aws:SourceArn 条件は使用できません。