Amazon Fraud Detector は、2025 年 11 月 7 日をもって新規顧客に公開されなくなりました。Amazon Fraud Detector と同様の機能については、Amazon SageMaker、AutoGluon、および を参照してください AWS WAF。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 混乱した代理の防止 混乱した代理問題は、アクションを実行する権限を持たないエンティティが、より特権のあるエンティティにアクションを実行するよう強制する可能性がある場合に発生します。 は、サードパーティー (*クロスアカウントと呼ばれる*) または他の AWS サービス (*クロスサービス*と呼ばれる) にアカウント内のリソースへのアクセスを提供する場合、アカウントを保護するのに役立つツール AWS を提供します。 サービス間の混乱した代理問題は、あるサービス (*呼び出し元のサービス*) が別のサービス (*呼び出し元のサービス*) を呼び出すと発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐには、サービスのリソースへのアクセス権が付与されたサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つポリシーを作成できます。 Amazon Fraud Detector では、アクセス許可ポリシーで[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を使用して、サービスがユーザーに代わって別のサービスのリソースにアクセスすることを許可できます。ロールには 2 つのポリシーが必要です。ロールを引き受けることができるプリンシパルを指定する、ロールの信頼ポリシーと、ロールで実行できる操作を指定する、アクセス許可ポリシーです。サービスがユーザーに代わってロールを引き受ける場合、サービスプリンシパルが `sts:AssumeRole` アクションを実行できるように、ロールの信頼ポリシーで許可されている必要があります。サービスが を呼び出すと`sts:AssumeRole`、 は、サービスプリンシパルがロールのアクセス許可ポリシーで許可されているリソースにアクセスするために使用する一時的なセキュリティ認証情報のセット AWS STS を返します。 サービス間の混乱した代理問題を防ぐために、Amazon Fraud Detector では、ロール信頼ポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、ロールへのアクセスを、予想されるリソースによって生成されたリクエストのみに制限することをお勧めします。 `aws:SourceAccount` はアカウント ID を指定し、 はクロスサービスアクセスに関連付けられたリソースの ARN `aws:SourceArn`を指定します。は、[ARN 形式](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax)を使用して指定`aws:SourceArn`する必要があります。同じポリシーステートメントで使用する場合は`aws:SourceArn`、 `aws:SourceAccount`と の両方が同じアカウント ID を使用していることを確認します。 混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN がわからない場合、または複数のリソースを指定する場合は、ARN の不明な部分にワイルドカード (`*`) を含む`aws:SourceArn`グローバルコンテキスト条件キーを使用します。例えば、`arn:aws:{{servicename}}:*:{{123456789012}}:*`。アクセス許可ポリシーで使用できる Amazon Fraud Detector リソースとアクションの詳細については、[「Amazon Fraud Detector のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies)」を参照してください。 次のロール信頼ポリシーの例では、 `aws:SourceArn` 条件キーでワイルドカード(\*) を使用して、Amazon Fraud Detector がアカウント ID に関連付けられた複数のリソースにアクセスできるようにします。 次のロール信頼ポリシーは、Amazon Fraud Detector に`external-model`リソースのみへのアクセスを許可します。条件ブロックの`aws:SourceArn`パラメータに注目してください。リソース修飾子は、`PutExternalModel`API コールを行うために提供されるモデルエンドポイントを使用して構築されます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "frauddetector.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly" } } } ] } ``` ------