本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議在資源政策中使用aws:SourceArn全域條件內容索引鍵,以限制將另一個服務 AWSClean Rooms提供給資源的許可。如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 aws:SourceArn。
防範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容索引鍵,以及資源的完整 ARN。在 中 AWSClean Rooms,您也必須將 與 sts:ExternalId 條件索引鍵進行比較。
的值aws:SourceArn必須設定為擔任角色成員資格的 ARN。
下列範例示範如何在 中使用aws:SourceArn全域條件內容索引鍵 AWSClean Rooms,以防止混淆代理人問題。
注意
此範例政策適用於 服務角色的信任政策,該角色 AWS Clean Rooms 使用 來存取已設定資料表的資料和中繼資料。
<query-runner-membership-id> 的值需要設定為查詢執行器的成員 ID。
協同合作的所有成員都可以檢視設定的資料表 matadata,因此每個成員資格 ARN 都必須包含在成員資格 ARNs 清單中。
