のクロスサービス混乱した代理防止 AWS IoT Events

注記

• この AWS IoT Events サービスでは、 ロールを使用して、リソースが作成されたのと同じアカウントでアクションを開始できます。これにより、 での混乱した代理攻撃を防ぐことができます AWS IoT Events。

• このページは、混乱した代理問題がどのように機能するかを確認するためのリファレンスとして機能し、クロスアカウントリソースがサービスで AWS IoT Events 許可されている場合に防止できます。

混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。

サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐために、 は、アカウント内のリソースへのアクセスが許可されているサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツール AWS を提供します。

リソースポリシーで aws:SourceArnおよび aws:SourceAccount グローバル条件コンテキストキーを使用して、リソースに別のサービス AWS IoT Events を付与するアクセス許可を制限することをお勧めします。aws:SourceArn 値に Amazon S3 バケット などのアカウント ID が含まれていない場合ARNは、両方のグローバル条件コンテキストキーを使用してアクセス許可を制限する必要があります。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID にaws:SourceArn の値が含まれていない場合、aws:SourceAccount 値と aws:SourceArn 値の中のアカウントには、同じアカウント ID を使用する必要があります。

クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。そのアカウントのリソースをクロスサービスの使用に関連付けることを許可する場合は、aws:SourceAccount を使用します。aws:SourceArn の値は、sts:AssumeRoleリクエストに関連付けられているディテクタモデルまたはアラームモデルである必要があります。

混乱した代理問題から保護する最も効果的な方法は、リソースARNがいっぱいになった aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースARNの完全さがわからない場合、または複数のリソースを指定する場合は、 の未知の部分にワイルドカード (*) を含むaws:SourceArnグローバルコンテキスト条件キーを使用しますARN。例えば、arn:aws:iotevents:*:123456789012:* と指定します。

次の例は、 aws:SourceArnおよび aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題 AWS IoT Events を防ぐ方法を示しています。

トピック

• 例: AWS IoT Events ディテクターモデルへの安全なアクセス
• 例: AWS IoT Events アラームモデルへの安全なアクセス
• 例: 指定したリージョンの AWS IoT Events リソースにアクセスする
• 例: のログ記録オプションを設定する AWS IoT Events