サービス間の混乱した代理の防止

混乱した代理問題とは、あるアクションを実行する許可を持たないエンティティが、より多くの特権を持つエンティティにアクションの実行を強制できることで生じるセキュリティ上の問題です。In AWS、サービス間のなりすましは、混乱した代理問題を引き起こす可能性があります。サービス間でのなりすましは、あるサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスが操作され、それ自体のアクセス許可を通じて、別の顧客のリソースに対して本来アクセス許可が付与されるべきではない形で働きかけが行われることがあります。これを防ぐには、 AWS は、アカウント内のリソースへのアクセスが許可されているサービスプリンシパルを使用して、すべてのサービスのデータを保護するのに役立つツールを提供します。

Identity aws:SourceArn and Access Management (IAM) が Amazon Nimble Studio にリソースへのアクセスを許可するアクセス許可を制限するには、リソースポリシーで および aws:SourceAccount グローバル条件コンテキストキーを使用することをお勧めします。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合、aws:SourceAccount 値、および aws:SourceArn 値の中のアカウントで、同じアカウント ID を使用する必要があります。

の値はaws:SourceArnスタジオの ARNで、 アカウント ID aws:SourceAccountである必要があります。スタジオは Nimble Studio によって生成されるため、スタジオが作成されるまでは、スタジオ ID が何であるかを知ることはできません。スタジオを作成したら、最終的なスタジオ ID を aws:SourceArn として設定し、信頼ポリシーを更新できます。

混乱した代理問題から保護する最も効果的な方法は、リソースARNがいっぱいになった aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースARNの全体がわからない場合、または複数のリソースを指定する場合は、 の不明な部分にワイルドカード (*) が付いたaws:SourceArnグローバルコンテキスト条件キーを使用しますARN。例えば、arn:aws:nimble::123456789012:* と指定します。

エンドユーザーは、Nimble Studio ポータルへのサインイン時にスタジオのロールを引き受けます。スタジオを作成すると、 AWS はロールを設定し、ポリシーを評価します。 AWS は、ユーザーが Nimble Studio ポータルにログインするたびにポリシーを評価します。スタジオ作成時に aws:SourceArn を変更することはできません。スタジオの作成が完了したら、 studioArn に を使用できますaws:SourceArn。

次のロールポリシー引き受けの例は、aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストキーを Nimble Studio で使用して、混乱した代理問題を防止する方法を示しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "identity.nimble.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*"
        }
      }
    }
  ]
}