Amazon Managed Service for Apache Flink는 이전에 Amazon Kinesis Data Analytics for Apache Flink로 알려졌습니다.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
교차 서비스 혼동된 대리인 방지
에서 AWS서비스 간 사칭은 한 서비스 (호출 서비스) 가 다른 서비스 (호출 서비스) 를 호출할 때 발생할 수 있습니다. 호출 서비스는 다른 고객의 리소스에 대해 적절한 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있으며, 이로 인해 대리인 문제가 발생할 수 있습니다.
대리인이 혼동하지 않도록 계정 내 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하는 모든 서비스에 대한 사용자 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다. 이 섹션에서는 Apache Flink용 Managed Service와 관련된 서비스 간 혼동 대응 방지에 초점을 맞추고 있지만 이 항목에 대한 자세한 내용은 사용 설명서의 혼동된 대리인 문제 섹션에서 자세히 알아볼 수 있습니다. IAM
Apache Flink용 관리형 서비스의 경우 역할 신뢰 정책에 aws: SourceArn 및 aws: SourceAccount 글로벌 조건 컨텍스트 키를 사용하여 예상 리소스에서 생성된 요청으로만 역할에 대한 액세스를 제한하는 것이 좋습니다.
하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 aws:SourceArn를 사용하십시오. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우 aws:SourceAccount을 사용하세요.
의 값은 Apache Flink용 Managed Service에서 사용하는 리소스의 aws:SourceArn 값이어야 하며, 이 리소스는 다음 형식으로 지정됩니다. ARN arn:aws:kinesisanalytics:region:account:resource
혼란스러운 대리자 문제에 대한 권장 접근 방식은 전체 리소스에 aws:SourceArn 글로벌 조건 컨텍스트 키를 사용하는 것입니다. ARN
ARN리소스의 전체 내용을 모르거나 여러 리소스를 지정하는 경우에는 와일드카드 문자 (*) 가 있는 aws:SourceArn 키를 사용하여 의 알 수 없는 부분을 지정하십시오. ARN 예: arn:aws:kinesisanalytics::111122223333:*.
Managed Service for Apache Flink에 제공하는 역할 정책과 사용자를 위해 생성된 역할의 신뢰 정책은 이러한 키를 사용할 수 있습니다.
혼동된 대리자 문제를 방지하려면 다음 단계를 수행하세요.
혼동된 대리인 문제를 방지하는 방법
-
AWS 관리 콘솔에 로그인하고 에서 IAM 콘솔을 여십시오. https://console.aws.amazon.com/iam/
-
역할을 선택한 다음 수정하려는 역할을 선택합니다.
신뢰 정책 편집을 선택합니다.
신뢰 정책 편집 페이지에서 기본 JSON 정책을
aws:SourceArn및aws:SourceAccount글로벌 조건 컨텍스트 키 중 하나 또는 둘 다를 사용하는 정책으로 교체합니다. 다음 정책 예를 참조하십시오:정책 업데이트를 선택합니다.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kinesisanalytics.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"Account ID" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app" } } } ] }
