Mencegah peniruan identitas lintas layanan

Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Ketika satu layanan memanggil layanan lain, peniruan identitas lintas layanan terjadi jika satu layanan memanipulasi layanan lain untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan dengan cara yang tidak diizinkan. Untuk mencegah serangan ini, AWS sediakan alat untuk membantu Anda melindungi data Anda, sehingga hanya layanan dengan izin yang sah yang dapat memperoleh akses ke sumber daya di akun Anda.

Sebaiknya gunakan aws:SourceArn dan aws:SourceAccount ketentuan dalam kebijakan Anda, untuk membatasi izin yang diberikan AWS Control Tower ke layanan lain untuk akses ke sumber daya Anda.

Gunakan aws:SourceArn jika Anda hanya ingin satu sumber daya dikaitkan dengan akses lintas layanan.
Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun itu dikaitkan dengan penggunaan lintas layanan.
Jika aws:SourceArn nilainya tidak berisi ID akun, seperti ARN untuk bucket Amazon S3, Anda harus menggunakan kedua kondisi tersebut untuk membatasi izin.
Jika Anda menggunakan kedua kondisi, dan jika aws:SourceArn nilainya berisi ID akun, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menunjukkan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama

Untuk informasi selengkapnya dan contoh tambahan, lihat https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat peran dan tetapkan izin

Kebijakan IAM untuk AWS Control Tower