翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービス間の混乱した代理の防止
<a name="cross-service-confused-deputy-prevention"></a>

混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスを操作すれば、アクセス許可がない場合に、それ自身のアクセス許可を使用して、別の顧客のリソースに働きかけることができます。これを防ぐために、Amazon Web Servicesでは、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス許可が付与されたサービスプリンシパルを使用します。

リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースにアクセスするために別のサービスに AWS Audit Manager 付与するアクセス許可を制限することをお勧めします。
+ クロスサービスのアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。複数のリソースを指定する場合は、`aws:SourceArn`でワイルドカード (`*`) を使用することもできます。

  例えば、Amazon SNS トピックを使用して、Audit Manager からアクティビティ通知を受け取ることができます。この場合、SNS トピックアクセスポリシーでは、`aws:SourceArn` のARN値は通知の送信元である Audit Manager リソースです。Audit Manager リソースは複数ある可能性が高いため、ワイルドカードで`aws:SourceArn`を使用することをお勧めします。これにより、SNS トピックアクセスポリシーですべての Audit Manager リソースを指定できます。
+ そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、`aws:SourceAccount` を使用します。
+ Amazon S3 バケットの ARN などのアカウント ID が、`aws:SourceArn` 値に含まれていない場合、アクセス許可を制限するためには、これら両方のグローバル条件コンテキストキーを使用する必要があります。
+ 両方の条件を使用する場合、および `aws:SourceArn` の値にアカウント ID が含まれている場合は、`aws:SourceAccount` の値と、`aws:SourceArn` の値のアカウントは、同じポリシーステートメントで使用するとき、同じアカウント ID を示している必要があります。
+ 混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全なAmazon リソースネーム (ARN)が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:servicename:*:123456789012:*`。

## Audit Managerの混乱した代理サポート
<a name="audit-manager-confused-deputy-support"></a>

Audit Manager は、次のようなシナリオで混乱した代理サポートを提供します。これらのポリシーの例では、`aws:SourceArn` および`aws:SourceAccount`の条件キーを使用して、混乱した代理問題を回避する方法を示します。
+ [ポリシー例:Audit Manager 通知の受信に使用する SNS トピック](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [ポリシー例:SNS トピックの暗号化に使用する KMS キー](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

Audit Manager は、Audit Manager [データ暗号化の設定](settings-KMS.md) 設定で指定した顧客管理キーについて、混乱した代理サポートを提供しません。独自のカスタマー管理キーを提供した場合、その KMS キーポリシーの `aws:SourceAccount` または `aws:SourceArn` 条件は使用できません。