サービス間の混乱した代理の防止 - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

混乱した副問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別の顧客のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、AWS では、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールを提供しています。

リソースポリシーで aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストキーを使用して、AWS DataSync が別のサービスに付与する許可をそのリソースに制限することをお勧めします。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID にaws:SourceArn の値が含まれていない場合、aws:SourceAccount 値と aws:SourceArn 値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。を使用するaws:SourceAccountクロスサービスが使用できるように、任意のリソースを関連付けたい場合は、

のValueaws:SourceArn含める必要があります DataSync 場所 ARN が使用される場所 DataSync は IAM ロールを引き受けることを許可されています。

混乱した代理問題を回避するための最も効果的な方法は、aws:SourceArnkey にはリソースに完全な ARN を使用します。完全な ARN がわからない場合や、複数のリソースを指定する場合は、ワイルドカード文字 (*)は不明な部分についてです。には次の方法についての例をいくつか示します。 DataSync:

  • 信頼ポリシーを既存の DataSync location の場合は、ポリシーに完全なロケーション ARN を含めます。 DataSync は、その特定の場所を扱う場合にのみ IAM ロールを引き受けます。

  • の Amazon S3 の場所の作成時 DataSync、ロケーションの ARN がわかりません。これらのシナリオでは、aws:SourceArnkey: arn:aws:datasync:us-east-2:123456789012:*。 このフォーマットは、パーティション (aws)、アカウント ID、およびリージョン。

以下に示しているのは、aws:SourceArnそしてaws:SourceAccountグローバル条件コンテキストキーを使用して、 DataSync。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

の使用方法を示すその他のポリシー例については、aws:SourceArnそしてaws:SourceAccountグローバル条件コンテキストキー DataSyncの以下のトピックを参照してください。