サービス間の混乱した代理の防止 - AWS DataSync

2023 年 12 月 7 日より、バージョン 1 DataSync のエージェントは廃止されます。 DataSync コンソールの [エージェント] ページをチェックして、影響を受けるエージェントがいないか確認してください。その場合は、データ転送やストレージ検出の中断を避けるため、その前にそれらのエージェントを交換してください。さらにサポートが必要な場合は、お問い合わせくださいAWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別の顧客のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、AWS では、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルですべてのサービスのデータを保護するために役立つツールを提供しています。

リソースポリシーで aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストキーを使用して、AWS DataSync が別のサービスに付与する許可をそのリソースに制限することをお勧めします。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID にaws:SourceArn の値が含まれていない場合、aws:SourceAccount 値と aws:SourceArn 値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。aws:SourceAccountそのアカウント内のリソースをサービス間の使用に関連付けたい場合に使用します。

の値には、IAM DataSync DataSync ロールを引き受けることができるロケーション ARN aws:SourceArn を含める必要があります。

混乱した代理問題を防ぐ最も効果的な方法は、リソースの完全な ARN aws:SourceArn を含むキーを使用することです。完全な ARN がわからない場合や、複数のリソースを指定している場合は、不明な部分にはワイルドカード文字 (*) を使用してください。以下にその方法の例をいくつか示します。 DataSync

  • DataSync 信頼ポリシーを既存の場所に限定するには、ポリシーにフルロケーション ARN を含めてください。 DataSync IAM の役割を引き受けるのは、その特定の場所を処理する場合だけです。

  • の Amazon S3 ロケーションを作成する場合 DataSync、ロケーションの ARN はわかりません。このようなシナリオでは、aws:SourceArnキーに次の形式を使用します。arn:aws:datasync:us-east-2:123456789012:*この形式はパーティション (aws)、アカウント ID、リージョンを検証します。

次の完全な例は、aws:SourceArnaws:SourceAccountとグローバル条件コンテキストキーを信頼ポリシーで使用して、 DataSyncという混乱した代理問題を防ぐ方法を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

aws:SourceArnaws:SourceAccountおよびグローバル条件コンテキストキーを使用する方法を示すその他のポリシー例については DataSync、以下のトピックを参照してください。