サービス間の混乱した代理の防止

混乱した代理人とは、別のエンティティから強制的にアクションを実行させられるエンティティ（サービスまたはアカウント）です。これには、クロスアカウントおよびクロスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリスリ

AWSアカウントのリソースへのアクセスが付与されたサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツールを提供していますAWS アカウント。このセクションでは、Amazon Transcribeに固有のサービス間混乱防止に焦点を当てていますが、このトピックの詳細については、IAMユーザーガイドの「混乱した代理人の問題」セクションを参照してください。

IAMAmazon Transcribeリソースへのアクセス権限を制限するには、aws:SourceArnaws:SourceAccountグローバル条件コンテキストキーとリソースポリシーを使用することをお勧めします。

これらのグローバル条件コンテキストキーを両方使用する場合、aws:SourceArn値に ID が付いた ID が付いた ID が付いたAWS アカウント ID を指定する場合、aws:SourceAccount値と、AWS アカウント同じポリシーステートメントで使用する場合、値と、それらが同じポリシーステートメントで使用する場合、値と、AWS アカウント値の IDaws:SourceArn を使用する必要があります。

クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。AWS アカウントその中のリソースをクロスサービスアクセスに関連付ける場合は、を使用してくださいaws:SourceAccount。

注記

混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して、リソースの ARN 全体が付いたaws:SourceArnグローバル条件コンテキストキーを使用することです。ARN 全体が不明または複数のリソースを指定する場合、ARN の未知部分にワイルドカード (*) が付いたaws:SourceArnグローバルコンテキスト条件キーを使用します。例えば、arn:aws:transcribe::123456789012:*。

代理人の混乱を防ぐ方法を示す役割を引き受けるポリシーの例については、を参照してください混乱した代理の防止。