本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
防止跨服務模擬
在中 AWS,跨服務模擬可能會導致混淆的副問題。當一個服務呼叫另一個服務時,如果某個服務操縱另一個服務,使用其權限以不允許的方式對客戶的資源採取行動,就會發生跨服務模擬。為了防止此攻擊,請 AWS 提供協助您保護資料的工具,以便只有具有合法權限的服務才能存取您帳戶中的資源。
我們建議您使用政策中的aws:SourceArn和aws:SourceAccount條件,以限制 AWS Control Tower 授予其他服務以存取資源的許可。
-
如
aws:SourceArn果您只希望一個資源與跨服務存取相關聯,請使用此選項。 -
如
aws:SourceAccount果您要允許該帳號中的任何資源與跨服務使用相關聯,請使用此選項。 -
如果
aws:SourceArn值不包含帳戶 ID (例如 Amazon S3 儲存貯體的 ARN),您必須使用這兩種條件來限制許可。 -
如果您同時同時使用這兩種條件,並且該
aws:SourceArn值包含帳戶 ID,則該aws:SourceAccount值和帳戶在aws:SourceArn同一保單聲明中使用時必須顯示相同的帳戶 ID
如需詳細資訊和範例,請參閱 https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html。
