교차 서비스 사칭 방지 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 서비스 사칭 방지

InAWS, 교차 서비스 가장 (cross-service 가장) 으로 이어질 수 있습니다.혼동된 대리자 문제. 한 서비스가 다른 서비스를 호출할 때 한 서비스가 다른 서비스를 조작함으로써 다른 서비스가 허용되지 않는 방식으로 작동하게 권한을 사용하는 경우 교차 서비스 가장이 발생합니다. 이러한 공격을 방지하기 위해 AWS에서는 데이터를 보호하는 데 도움이 되는 도구를 제공하므로 합법적 권한이 있는 서비스만 계정의 리소스에 액세스할 수 있습니다.

를 사용하는 것이 좋습니다.aws:SourceArnaws:SourceAccountAWS Control Tower Tower가 리소스에 액세스할 수 있도록 다른 서비스에 부여하는 권한을 제한하기 위한 정책의 조건

  • 사용aws:SourceArn하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우.

  • 사용aws:SourceAccount해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우

  • 만약aws:SourceArnAmazon S3 버킷의 ARN과 같은 계정 ID가 포함되어 있지 않은 경우, 권한을 제한하려면 두 조건을 모두 사용해야 합니다.

  • 두 조건을 모두 사용하는 경우aws:SourceArn값에 계정 ID가 포함됩니다.aws:SourceAccount가치와 계정aws:SourceArn동일한 정책 설명에서 사용할 경우 value에 동일한 계정 ID가 표시되어야 합니다.

자세한 정보와 지침은 역할 신뢰 관계에 대한 선택적 조건 단원을 참조하세요.