本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在中 AWS,跨服務模擬可能會導致混淆的副問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議在資源策略中使用aws:SourceArn
和aws:SourceAccount
全域條件前後關聯索引鍵,以限制將其他服務 AWS Amplify 提供給資源的權限。如果同時使用全域條件內容索引鍵,則在相同政策陳述式中使用 aws:SourceAccount
值和 aws:SourceArn
值中的帳戶時,必須使用相同的帳戶 ID。
的值aws:SourceArn
必須是 Amplify 應用程式ARN的分支。以格式指定此值arn:
。Partition
:amplify:Region
:Account
:apps/AppId
/branches/BranchName
防止混淆的副問題的最有效方法是使用aws:SourceArn
全局條件上下文鍵與完整ARN的資源。如果您不知道資源ARN的完整內容,或者您要指定多個資源,請使用具有萬用字元 (*
) 的aws:SourceArn
全域內容條件索引鍵與萬用字元 ()。ARN例如 arn:aws:
。servicename
::123456789012
:*
下列範例顯示角色信任原則,您可以套用來限制帳戶中任何 Amplify 應用程式的存取權,並防止混淆的副問題。若要使用此原則,請以您自己的資訊取代範例原則中的紅色斜體文字。
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": [ "amplify.me-south-1.amazonaws.com", "amplify.eu-south-1.amazonaws.com", "amplify.ap-east-1.amazonaws.com", "amplifybackend.amazonaws.com", "amplify.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:amplify:
us-east-1
:123456789012
:apps/*" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } }
下列範例顯示角色信任原則,您可以套用來限制帳戶中指定 Amplify 應用程式的存取權,並防止混淆的副問題。若要使用此原則,請以您自己的資訊取代範例原則中的紅色斜體文字。
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": [ "amplify.me-south-1.amazonaws.com", "amplify.eu-south-1.amazonaws.com", "amplify.ap-east-1.amazonaws.com", "amplifybackend.amazonaws.com", "amplify.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:amplify:
us-east-1
:123456789012
:apps/d123456789
/branches/*" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } }