本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 AWS 中,跨服務模擬可能會導致混淆代理人問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況,AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
若要限制 AWS Panorama 為資源提供另一項服務的許可,我們建議在資源政策中使用 aws:SourceArn
和 aws:SourceAccount
全域條件內容索引鍵。如果同時使用全域條件內容索引鍵,則在相同政策陳述式中使用aws:SourceAccount
值和 aws:SourceArn
值中的帳戶時,必須使用相同的帳戶 ID。
的值aws:SourceArn
必須是AWS Panorama設備。
防止混淆副手問題的最有效方法是使用aws:SourceArn
全局條件上下文鍵與資源的完整 ARN。如果不知道資源的完整 ARN,或者如果要指定多個資源,請使用aws:SourceArn
帶通配符的全局上下文條件鍵(*
),查看 ARN 的未知部分。例如:arn:aws:
。servicename
::123456789012
:*
有關保護服務角色的説明,AWS Panorama用於授予權限AWS Panorama裝置,請參閲保護應用裝置角色。