기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
교차 서비스 혼동된 대리인 방지
혼동된 대리인 문제는 작업을 수행할 권한이 없는 개체가 권한이 더 많은 개체에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS크로스 서비스 사칭으로 인해 대리인 문제가 발생할 수 있습니다. 교차 서비스 가장은 한 서비스(호출하는 서비스)가 다른 서비스(호출되는 서비스)를 호출할 때 발생할 수 있습니다. 직접적으로 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS 에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
Amazon Personalize가 리소스에 다른 서비스를 제공하는 권한을 제한하려면 리소스 정책에서 aws:SourceArn 및 aws:SourceAccount 글로벌 조건 컨텍스트 키를 사용하는 것이 좋습니다.
Amazon Personalize에서 맡은 역할의 대리인 문제가 혼동되지 않도록 역할의 신뢰 정책에서 값을 aws:SourceArn~arn:aws:personalize: 사이로 설정하세요. 와일드카드(region:accountNumber:**)는 모든 Amazon Personalize 리소스에 대한 조건을 적용합니다.
다음 신뢰 관계 정책에서는 Amazon Personalize 에게 사용자의 리소스에 대한 액세스 권한을 부여하고 혼동된 대리인 문제를 방지하기 위해 aws:SourceArn 및 aws:SourceAccount 전역 조건 컨텍스트 키를 사용합니다. Amazon Personalize(Amazon Personalize에 대한 IAM 역할 생성) 에 대한 역할을 생성할 때는 이 정책을 사용하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "personalize.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountNumber" }, "StringLike": { "aws:SourceArn": "arn:aws:personalize:region:accountNumber:*" } } } ] }
