Evite a falsificação de identidade entre serviços

Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. Quando um serviço chama outro serviço, a falsificação de identidade entre serviços ocorre se um serviço manipula outro serviço para usar suas permissões para agir sobre os recursos do cliente de uma forma que não seria permitida de outra forma. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta.

Recomendamos usar as aws:SourceAccount condições aws:SourceArn e em suas políticas para limitar as permissões que o AWS Control Tower concede a outro serviço para acessar seus recursos.

Use aws:SourceArn se quiser que somente um recurso seja associado ao acesso entre serviços.
Use aws:SourceAccount se quiser permitir que qualquer recurso dessa conta seja associado ao uso entre serviços.
Se o aws:SourceArn valor não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões.
Se você usar as duas condições e se o aws:SourceArn valor contiver o ID da conta, o aws:SourceAccount valor e a conta no aws:SourceArn valor deverão mostrar o mesmo ID da conta quando usados na mesma declaração de política

Para ter mais informações e exemplos, consulte https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Crie funções e atribua permissões

Políticas do IAM para o AWS Control Tower