サービス間の混乱した代理の防止 - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましによって、混乱した代理人問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐために、 AWS には、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールが用意されています。

aws:SourceArnaws:SourceAccountリソースポリシーではグローバル条件コンテキストキーとグローバル条件コンテキストキーを使用して、 AWS CloudTrail リソースに別のサービスを付与する権限を制限することをおすすめします。クロスサービスアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、aws:SourceAccount を使用します。

混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合は、aws:SourceArn グローバルコンテキスト条件キーを使用して、ARN の未知部分をワイルドカード (*) で表します。例えば、"arn:aws:cloudtrail:*:AccountID:trail/*" のように指定します。ワイルドカードを含める場合は、StringLike 条件演算子も使用する必要があります。

aws:SourceArn の値は、リソースを使用している証跡、イベントデータストア、またはチャネルの ARN でなければなりません。

次の例は、aws:SourceArnaws:SourceAccountおよびグローバル条件コンテキストキーを使用して、 CloudTrail 混乱を招く代理問題を防ぐ方法を示しています CloudTrail レイククエリ結果の Amazon S3 バケットポリシー