교차 서비스 사칭 방지 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 서비스 사칭 방지

AWS에서는 교차 서비스 가장 (cross-service impersonation) 으로 인해 혼동된 대리자 문제가 발생할 수 있습니다. 한 서비스에서 다른 서비스를 호출하면 다른 서비스가 다른 서비스를 조작하여 다른 서비스에서는 허용되지 않는 방식으로 고객의 리소스에 대해 조치를 취하는 경우 교차 서비스 사칭이 발생합니다. 이 공격을 방지하기 위해 에서는 합법적인 권한을 지닌 서비스만 계정 리소스에 액세스할 수 있도록 데이터를 보호하는 데 도움이 되는 도구를AWS 제공합니다.

정책에 있는aws:SourceArnaws:SourceAccount 조건을 사용하여 AWS Control Tower가 다른 서비스에 부여한 리소스 액세스 권한을 제한하는 것이 좋습니다.

  • 하나의 리소스만 교차 서비스 액세스와 연결되도록 하려는aws:SourceArn 경우에 사용합니다.

  • aws:SourceAccount해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 하려는 경우에 사용합니다.

  • aws:SourceArn값에 Amazon S3 버킷의 ARN과 같은 계정 ID가 포함되어 있지 않은 경우 두 조건 모두 사용하여 권한을 제한해야 합니다.

  • 두 조건을 모두 사용하고aws:SourceArn 값에 계정 ID가 포함된 경우aws:SourceAccount 값과 계정이 동일한 정책 문에서 사용될 때 동일한 계정 ID를 표시해야 합니다.aws:SourceArn

자세한 정보와 지침은 역할 신뢰 관계를 위한 선택적 조건 섹션을 참조하세요.