サービス間の混乱した代理の防止 - Amazon Chime

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

不分別な代理処理問題とは、アクションを実行する権限のないエンティティが、権限のあるエンティティにアクションを実行するように 呼び出し をすることで発生する情報セキュリティ上の問題です。これにより、悪意のあるアクターが本来であれば実行またはアクセスの権限がないコマンドを実行したり、リソースを変更することが可能になります。詳細については、「」を参照してください。「混乱した代理」問題AWS Identity and Access Managementユーザーガイド

AWSでは、クロスサービスでのなりすましは混乱した副シナリオにつながります。クロスサービス偽装は、1 つのサービス(呼び出しサービス) は別のサービスを呼び出す (呼び出されたサービス). 悪意のあるアクターは、呼び出し元のサービスを使用して、通常持っていない許可を使用して、別のサービスのリソースを変更できます。

AWS は、アカウント上のリソースへのアクセスの管理をサービスプリンシパルに提供し、リソースのセキュリティを保護できるようにします。を使用することをお勧めします。aws:SourceAccountリソースポリシーのグローバル条件コンテキストキー。これらのキーは、Amazon Chime が別のサービスに付与するそのリソースへのアクセス許可を制限します。

以下の例に、を使用する S3 バケットポリシーを示します。aws:SourceAccount設定されているのグローバル条件コンテキストキーCallDetailRecords混乱した使節の問題の防止に役立つ S3 バケット。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonChimeAclCheck668426", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-cdr-bucket" }, { "Sid": "AmazonChimeWrite668426", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::your-cdr-bucket/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "112233446677" } } } ] }