クロスサービス偽装の防止

では AWS、サービス間でなりすましを行うと、「混乱した代理」問題が発生する可能性があります。あるサービスが別のサービスを呼び出すとき、あるサービスが別のサービスを操作し、それ以外では許可されていない方法で、お客様のリソースに影響を及ぼす許可を使用した場合、クロスサービス偽装が発生します。この攻撃を防ぐために、 はデータを保護するためのツール AWS を提供しています。これにより、正当なアクセス許可を持つサービスのみがアカウントのリソースにアクセスできるようになります。

ポリシーで aws:SourceArn 条件および aws:SourceAccount 条件を使用して、お客様のリソースにアクセスするために AWS Control Tower が別のサービスに付与する許可を制限することをお勧めします。

• クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。

• クロスサービスが使用できるように、アカウント内の任意のリソースを関連付けたい場合は、aws:SourceAccount を使用します。

• aws:SourceArn の値に Simple Storage Service (Amazon S3) バケットの ARN などのアカウント ID が含まれていない場合は、両方の条件を使用して、許可を制限する必要があります。

• 両方の条件を使用する場合、および aws:SourceArn の値にアカウント ID が含まれている場合は、aws:SourceAccount の値と、aws:SourceArn の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。

詳細な説明と例については、「ロールの信頼関係のオプションの条件」を参照してください。