預防跨服務混淆代理人 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

預防跨服務混淆代理人

混淆代理人是由不同實體強制執行動作的實體 (服務或帳戶)。這種類型的冒充可能發生跨帳戶和跨服務。

為了防止混淆代理人, AWS 提供工具,協助您使用可存取 中資源的服務主體來保護所有 服務的資料 AWS 帳戶。本節著重於網際網路監視器特有的跨服務混淆代理人預防;不過,您可以在 IAM 使用者指南混淆代理人問題區段中進一步了解此主題。

若要限制 IAM 授予網路監視器存取資源的許可,建議您在資源政策aws:SourceAccount中使用全域條件內容金鑰 aws:SourceArn 和 。

如果您同時使用這兩個全域條件內容索引鍵,且aws:SourceArn值包含 AWS 帳戶 ID,則 aws:SourceAccount中的值和 AWS 帳戶 aws:SourceArn必須在相同政策陳述式中使用相同的 AWS 帳戶 ID。

對於網路監視器,您可以指定 的帳戶 ID,aws:SourceAccount以及 的監視器 ARNaws:SourceArn。對於跨服務存取,您也可以使用適用於 的監視器 ARNaws:SourceArn

注意

範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容金鑰,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定多個資源,請使用 aws:SourceArn 全域條件內容金鑰,同時使用 ARN 未知部分的萬用字元 (*) 。例如 arn:aws:internetmonitor:us-east-1:111122223333:*

以下是擔任角色政策的範例,示範如何預防混淆代理人問題。

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}