Amazon Managed Service for Apache Flink(Amazon MSF)는 이전에 Amazon Kinesis Data Analytics for Apache Flink로 알려져 있었습니다.
교차 서비스 혼동된 대리자 방지
AWS에서는 한 서비스(직접적으로 호출하는 서비스)가 다른 서비스(직접적으로 호출되는 서비스)를 직접적으로 호출할 때 교차 서비스 가장이 발생할 수 있습니다. 호출 서비스는 다른 고객의 리소스에 대해 적절한 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있으며, 이로 인해 대리인 문제가 발생할 수 있습니다.
혼동된 대리자를 방지하기 위해 AWS에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다. 이 섹션에서는 Apache Flink용 Managed Service에 특정한 서비스 간 혼동된 대리자 방지에 중점을 두지만, 이 주제에 대한 자세한 내용은 IAM 사용 설명서의 혼동된 대리자 문제 섹션에서 확인할 수 있습니다.
Managed Service for Apache Flink에서는, 역할 신뢰 정책에서 aws:SourceArn 및 aws:SourceAccount 글로벌 조건 컨텍스트 키를 사용하여 예상 리소스에 의해 생성되는 요청으로만 역할에 대한 액세스를 제한하는 것이 좋습니다.
하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 aws:SourceArn을(를) 사용하십시오. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우 aws:SourceAccount을(를) 사용하십시오.
의 값은 Managed Service for Apache Flink에서 사용하는 리소스의 aws:SourceArn ARN이어야 하며, arn:aws:kinesisanalytics:region:account:resource 형식으로 지정됩니다.
혼동된 대리자 문제에 대한 권장 접근 방식은 전체 리소스 ARN이 포함된 aws:SourceArn 글로벌 조건 컨텍스트 키를 사용하는 것입니다.
리소스의 전체 ARN을 모르거나 여러 리소스를 지정한 경우, ARN의 알 수 없는 부분에 대해 와일드카드 문자 (*)를 포함한 aws:SourceArn 키를 사용하십시오. 예를 들면 arn:aws:kinesisanalytics::111122223333:*입니다.
Managed Service for Apache Flink에 제공하는 역할 정책과 사용자를 위해 생성된 역할의 신뢰 정책은 이러한 키를 사용할 수 있습니다.
혼동된 대리자 문제를 방지하려면 다음 단계를 수행하세요.
혼동된 대리인 문제를 방지하는 방법
-
AWS 관리 콘솔에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
역할을 선택한 다음 수정하려는 역할을 선택합니다.
신뢰 정책 편집을 선택합니다.
신뢰 정책 편집 페이지에서 기본 JSON 정책을
aws:SourceArn및aws:SourceAccount글로벌 조건 컨텍스트 키 중 하나 또는 둘 다를 사용하는 정책으로 대체합니다. 다음 정책 예를 참조하십시오:정책 업데이트를 선택합니다.
