本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
防止跨服务模仿
在中 AWS,跨服务模仿可能会导致混乱的副手问题。当一个服务调用另一个服务时,如果一个服务操纵另一个服务,使用其权限以其他方式不允许的方式对客户的资源进行操作,则会发生跨服务模仿。为了防止这种攻击,我们 AWS 提供了一些工具来帮助您保护数据,以便只有拥有合法权限的服务才能访问您账户中的资源。
我们建议使用策略中的aws:SourceArn和aws:SourceAccount条件来限制 AWS Control Tower 授予其他服务访问您的资源的权限。
-
aws:SourceArn如果您只想将一个资源与跨服务访问相关联,请使用。 -
aws:SourceAccount如果您想允许该账户中的任何资源与跨服务使用相关联,请使用。 -
如果该
aws:SourceArn值不包含账户 ID,例如 Amazon S3 存储桶的 ARN,则必须同时使用这两个条件来限制权限。 -
如果您同时使用这两个条件,并且该
aws:SourceArn值包含账户 ID,则该aws:SourceAccount值和aws:SourceArn值中的账户在同一政策声明中使用时必须显示相同的账户 ID
有关更多信息以及示例,请参阅 https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html。
