翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービス間の混乱した代理の防止
混乱した代理問題とは、あるアクションを実行する許可を持たないエンティティが、より多くの特権を持つエンティティにアクションの実行を強制できることで生じるセキュリティ上の問題です。In AWS、サービス間のなりすましは、混乱した代理問題を引き起こす可能性があります。サービス間でのなりすましは、あるサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスが操作され、それ自体のアクセス許可を通じて、別の顧客のリソースに対して本来アクセス許可が付与されるべきではない形で働きかけが行われることがあります。これを防ぐには、 AWS は、アカウント内のリソースへのアクセスが許可されているサービスプリンシパルを使用して、すべてのサービスのデータを保護するのに役立つツールを提供します。
Identity aws:SourceArn
and Access Management (IAM) が Amazon Nimble Studio にリソースへのアクセスを許可するアクセス許可を制限するには、リソースポリシーで および aws:SourceAccount
グローバル条件コンテキストキーを使用することをお勧めします。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合、aws:SourceAccount
値、および aws:SourceArn
値の中のアカウントで、同じアカウント ID を使用する必要があります。
の値はaws:SourceArn
スタジオの ARNで、 アカウント ID aws:SourceAccount
である必要があります。スタジオは Nimble Studio によって生成されるため、スタジオが作成されるまでは、スタジオ ID が何であるかを知ることはできません。スタジオを作成したら、最終的なスタジオ ID を aws:SourceArn
として設定し、信頼ポリシーを更新できます。
混乱した代理問題から保護する最も効果的な方法は、リソースARNがいっぱいになった aws:SourceArn
グローバル条件コンテキストキーを使用することです。リソースARNの全体がわからない場合、または複数のリソースを指定する場合は、 の不明な部分にワイルドカード (*) が付いたaws:SourceArn
グローバルコンテキスト条件キーを使用しますARN。例えば、arn:aws:nimble::123456789012:*
と指定します。
エンドユーザーは、Nimble Studio ポータルへのサインイン時にスタジオのロールを引き受けます。スタジオを作成すると、 AWS はロールを設定し、ポリシーを評価します。 AWS は、ユーザーが Nimble Studio ポータルにログインするたびにポリシーを評価します。スタジオ作成時に aws:SourceArn
を変更することはできません。スタジオの作成が完了したら、 studioArn に を使用できますaws:SourceArn
。
次のロールポリシー引き受けの例は、aws:SourceArn
および aws:SourceAccount
のグローバル条件コンテキストキーを Nimble Studio で使用して、混乱した代理問題を防止する方法を示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "identity.nimble.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*" } } } ] }