預防混淆代理人

混淆代理人問題屬於安全性議題，其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。In (入) AWS，跨服務模擬可能會導致混淆的副問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時，可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可，以其不應有存取許可的方式對其他客戶的資源採取動作。為了防止這種情況， AWS 提供的工具可協助您透過已授予您帳戶中資源存取權的服務主體來保護所有服務的資料。

我們建議在資源策略中使用aws:SourceArnaws:SourceAccountaws:SourceOrgID、、和aws:SourceOrgPaths全域條件前後關聯鍵字，以限制將其他服務提供給資源的權限。用於僅aws:SourceArn將一個資源與跨服務存取建立關聯。用於aws:SourceAccount讓該帳號中的任何資源與跨服務使用相關聯。用於aws:SourceOrgID允許組織內任何帳號的任何資源與跨服務使用相關聯。用aws:SourceOrgPaths於關聯帳號中的任何資源 AWS Organizations 跨服務使用的路徑。如需有關使用和瞭解路徑的詳細資訊，請參閱瞭解 AWS Organizations 實體路徑。

防止混淆的副問題的最有效方法是使用aws:SourceArn全局條件上下文鍵與完整ARN的資源。如果您不知道資源ARN的完整內容，或者您要指定多個資源，請針對. 的未知部分使用萬用字元 (*) 的aws:SourceArn全域內容條件索引鍵ARN。例如：arn:aws:servicename:*:123456789012:*。

如果aws:SourceArn值不包含帳戶 ID (例如 Amazon S3 儲存貯體)ARN，則必須同時使用aws:SourceAccount和aws:SourceArn限制許可。

若要大規模防範混淆代理人問題，請在資源型政策中使用 aws:SourceOrgID 或 aws:SourceOrgPaths 全域條件內容鍵和資源的組織 ID 或組織路徑。當您新增、移除或移動組織中的帳戶時，包含 aws:SourceOrgID 或 aws:SourceOrgPaths 鍵的政策將會自動包含正確的帳戶，您無需手動更新政策。

在中授予對記錄的存取權以將資料寫入 Kinesis Data Streams 和 Firehose 的政策所記 CloudWatch 錄，步驟 1：建立目的地並說步驟 2：建立目的地明如何使用 aws: SourceArn 全域條件內容金鑰來協助防止混淆的副問題。