翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービス間での不分別な代理処理の防止
混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間でなりすましを行うと、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、あるサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスを操作すれば、アクセス許可がない場合に、それ自身のアクセス許可を使用して、別の顧客のリソースに働きかけることができます。これを防ぐために、Amazon Web Servicesでは、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス許可が付与されたサービスプリンシパルを使用します。
リソースポリシーで aws:SourceArn
および aws:SourceAccount
グローバル条件コンテキストキーを使用して、 がリソースにアクセスするために別のサービス AWS Audit Manager に付与するアクセス許可を制限することをお勧めします。
-
クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、
aws:SourceArn
を使用します。複数のリソースを指定する場合は、aws:SourceArn
でワイルドカード (*
) を使用することもできます。たとえば、Amazon SNS トピックを使用して、Audit Manager からアクティビティ通知を受け取ることができます。この場合、SNS トピックアクセスポリシーでは、
aws:SourceArn
のARN値は通知の送信元である Audit Manager リソースです。Audit Manager リソースは複数ある可能性が高いため、ワイルドカードでaws:SourceArn
を使用することをおすすめします。これにより、SNS トピックアクセスポリシーですべての Audit Manager リソースを指定できます。 -
そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、
aws:SourceAccount
を使用します。 -
Amazon S3 バケットの ARN などのアカウント ID が、
aws:SourceArn
値に含まれていない場合、アクセス許可を制限するためには、これら両方のグローバル条件コンテキストキーを使用する必要があります。 -
両方の条件を使用する場合、および
aws:SourceArn
の値にアカウント ID が含まれている場合は、aws:SourceAccount
の値と、aws:SourceArn
の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。 -
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して
aws:SourceArn
グローバル条件コンテキストキーを使用することです。リソースの完全なAmazon リソースネーム (ARN)が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キーaws:SourceArn
で、ARN の未知部分を示すためにワイルドカード文字 (*
) を使用します。例えばarn:aws:
です。servicename
:*:123456789012
:*
Audit Managerの混乱した代理サポート
Audit Manager は、次のようなシナリオで混乱した代理サポートを提供します。これらのポリシーの例では、aws:SourceArn
およびaws:SourceAccount
の条件キーを使用して、混乱した代理問題を回避する方法を示します。
Audit Manager は、Audit Manager データ暗号化 設定で指定した顧客管理キーについて、混乱した代理サポートを提供しません。独自のカスタマー管理キーを提供した場合、その KMS キーポリシーの aws:SourceAccount
または aws:SourceArn
条件は使用できません。