翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# クロスサービス偽装の防止
<a name="prevent-confused-deputy"></a>

 では AWS、サービス間のなりすましにより*、混乱した代理問題*が発生する可能性があります。あるサービスが別のサービスを呼び出すとき、あるサービスが別のサービスを操作し、それ以外では許可されていない方法で、お客様のリソースに影響を及ぼす許可を使用した場合、クロスサービス偽装が発生します。この攻撃を防ぐために、 は、正当なアクセス許可を持つサービスのみがアカウント内のリソースにアクセスできるように、データを保護するのに役立つツール AWS を提供します。

ポリシーで `aws:SourceArn` 条件および `aws:SourceAccount` 条件を使用して、お客様のリソースにアクセスするために AWS Control Tower が別のサービスに付与する許可を制限することをお勧めします。
+ クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。
+ クロスサービスが使用できるように、アカウント内の任意のリソースを関連付けたい場合は、`aws:SourceAccount` を使用します。
+ `aws:SourceArn` の値に Simple Storage Service (Amazon S3) バケットの ARN などのアカウント ID が含まれていない場合は、両方の条件を使用して、許可を制限する必要があります。
+ 両方の条件を使用する場合、および `aws:SourceArn` の値にアカウント ID が含まれている場合は、`aws:SourceAccount` の値と、`aws:SourceArn` の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。

詳細な説明と例については、「[https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)」を参照してください。