翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。あるサービスが別のサービスを呼び出すとき、あるサービスが別のサービスを操作し、それ以外では許可されていない方法で、お客様のリソースに影響を及ぼす許可を使用した場合、クロスサービス偽装が発生します。この攻撃を防ぐために、 は、正当なアクセス許可を持つサービスのみがアカウント内のリソースにアクセスできるように、データを保護するのに役立つツール AWS を提供します。
ポリシーで aws:SourceArn 条件および aws:SourceAccount 条件を使用して、お客様のリソースにアクセスするために AWS Control Tower が別のサービスに付与する許可を制限することをお勧めします。
-
クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、
aws:SourceArnを使用します。 -
クロスサービスが使用できるように、アカウント内の任意のリソースを関連付けたい場合は、
aws:SourceAccountを使用します。 -
aws:SourceArnの値に Simple Storage Service (Amazon S3) バケットの ARN などのアカウント ID が含まれていない場合は、両方の条件を使用して、許可を制限する必要があります。 -
両方の条件を使用する場合、および
aws:SourceArnの値にアカウント ID が含まれている場合は、aws:SourceAccountの値と、aws:SourceArnの値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。
詳細な説明と例については、「https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html」を参照してください。
