本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 中 AWS,跨服務模擬可能會導致混淆代理人問題。當一個服務呼叫另一個服務時,如果一個服務操縱另一個服務以使用其許可,以在其他方面不允許的方式處理客戶的資源,則會發生跨服務模擬。為了防止此攻擊, AWS 提供工具來協助您保護資料,因此只有具有合法許可的服務才能存取您帳戶中的資源。
我們建議您在政策中使用 aws:SourceArn和 aws:SourceAccount條件,以限制 AWS Control Tower 提供給其他服務的許可,以存取您的 資源。
-
aws:SourceArn如果您希望只有一個資源與跨服務存取相關聯,請使用 。 -
aws:SourceAccount如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 。 -
如果該
aws:SourceArn值不包含帳戶 ID,例如 Amazon S3 儲存貯體的 ARN,您必須使用這兩個條件來限制許可。 -
如果您同時使用這兩種條件,而且該
aws:SourceArn值包含帳戶 ID,則值中的aws:SourceAccount值和帳戶aws:SourceArn必須在相同政策陳述式中使用時顯示相同的帳戶 ID
如需詳細資訊和範例,請參閱 https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html。
