クロスサービス偽装の防止

では AWS、サービス間のなりすましによって、混乱した代理問題が発生する可能性があります。あるサービスが別のサービスを呼び出すとき、あるサービスが別のサービスを操作し、それ以外では許可されていない方法で、お客様のリソースに影響を及ぼす許可を使用した場合、クロスサービス偽装が発生します。この攻撃を防ぐために、正当な権限を持つサービスのみがアカウント内のリソースにアクセスできるように、 AWS データを保護するのに役立つツールを提供しています。

ポリシーで aws:SourceArn 条件および aws:SourceAccount 条件を使用して、お客様のリソースにアクセスするために AWS Control Tower が別のサービスに付与する許可を制限することをお勧めします。

• クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。

• クロスサービスが使用できるように、アカウント内の任意のリソースを関連付けたい場合は、aws:SourceAccount を使用します。

• aws:SourceArn の値に Simple Storage Service (Amazon S3) バケットの ARN などのアカウント ID が含まれていない場合は、両方の条件を使用して、許可を制限する必要があります。

• 両方の条件を使用する場合、および aws:SourceArn の値にアカウント ID が含まれている場合は、aws:SourceAccount の値と、aws:SourceArn の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。

詳細な説明と例については、「https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html」を参照してください。