サービス間の混乱した代理の防止 - Amazon Personalize

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス間の混乱した代理の防止

混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別の顧客のリソースに対する処理を実行するように操作される場合があります。これを防ぐために AWS では、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルを使用します。

aws:SourceArnaws:SourceAccountリソースポリシーでおよびグローバル条件コンテキストキーを使用して、Amazon Personalize がリソースに対して別のサービスに付与するアクセス許可を制限することをお勧めします。

Amazon Personalize が担当するロールでの混乱を防ぐため、aws:SourceArnロールの信頼ポリシーでの値をに設定しますarn:aws:personalize:region:accountNumber:*。ワイルドカード (*) は、すべての Amazon Personalize リソースに条件を適用します。

次の信頼関係ポリシーは、Amazon Personalize にリソースへのアクセスを許可し、aws:SourceArnaws:SourceAccountおよびグローバル条件コンテキストキーを使用して、「混乱した代理」問題を防ぎます。Amazon Personalize (Amazon Personalize) のロールを作成するときには、このポリシーを使用してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "personalize.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountNumber" }, "StringLike": { "aws:SourceArn": "arn:aws:personalize:region:accountNumber:*" } } } ] }