サービス間の混乱した代理の防止 - Amazon Chime

このガイドのステップを完了するには、Amazon Chime システム管理者である必要があります。Amazon Chime デスクトップクライアント、ウェブアプリケーション、またはモバイルアプリに関するヘルプが必要な場合は、「Amazon Chime ユーザーガイド」の「Getting support」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

不分別な代理処理問題とは、アクションを実行する権限のないエンティティが、権限のあるエンティティにアクションを実行するように 呼び出し をすることで発生する情報セキュリティ上の問題です。これにより、悪意のあるアクターが本来であれば実行またはアクセスの権限がないコマンドを実行したり、リソースを変更することが可能になります。詳細については、「AWS Identity and Access Management ユーザーガイド」の「混乱する代理問題」を参照してください。

AWSでは、クロスサービスでのなりすましは混乱した副シナリオにつながります。クロスサービスでのなりすましとは、あるサービス (呼び出し側のサービス) が別のサービス (呼び出しされた側のサービス) を呼び出すときに発生します。悪意のあるアクターは、呼び出し元のサービスを使用して、通常持っていない許可を使用して、別のサービスのリソースを変更できます。

AWS は、アカウント上のリソースへのアクセスの管理をサービスプリンシパルに提供し、リソースのセキュリティを保護できるようにします。リソースポリシーには、aws:SourceAccount のグローバル条件コンテキストキーを使用することをお勧めします。これらのキーは、Amazon Chime が他のサービスに付与するそのリソースへのアクセス許可を制限します。

次の例は、設定済みの CallDetailRecords S3 バケット内の aws:SourceAccount グローバル条件コンテキストを使用して混乱する代理問題を防止する S3 バケットポリシーを示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}