AWS Systems Manager Incident Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Incident Manager  可用性の変更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Incident Manager におけるサービス間の混乱した代理の防止 不分別な代理処理問題とは、アクションを実行する権限のないエンティティが、権限のあるエンティティにアクションを実行するように 呼び出し をすることで発生する情報セキュリティ上の問題です。これにより、悪意のあるアクターが本来であれば実行またはアクセスの権限がないコマンドを実行したり、リソースを変更することが可能になります。 では AWS、サービス間のなりすましは、混乱した代理シナリオにつながる可能性があります。クロスサービスでのなりすましとは、あるサービス (呼び出し側のサービス) が別のサービス (呼び出しされた側のサービス) を呼び出すことです。悪意のあるアクターは、呼び出し元のサービスを使用して、通常持っていない許可を使用して、別のサービスのリソースを変更できます。 AWS は、リソースのセキュリティを保護するために、 アカウントのリソースへのマネージドアクセスをサービスプリンシパルに提供します。リソースポリシーには、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) のグローバル条件コンテキストキーを使用することをお勧めします。これらのキーは、 がそのリソースに別のサービス AWS Systems Manager Incident Manager に付与するアクセス許可を制限します。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合、`aws:SourceAccount` 値と `aws:SourceArn` 値で参照されるアカウントは、同じアカウント ID を使用する必要があります。 `aws:SourceArn` 値は、影響を受けるインシデントレコードの ARN である必要があります。リソースの完全な ARN がわからない場合や、複数のリソースを指定している場合は、ARN の未知部分に `*` ワイルドカードで `aws:SourceArn` グローバルコンテキスト条件キーを使用します。たとえば、`aws:SourceArn` を `arn:aws:ssm-incidents::111122223333:*`に設定できます。 以下の信頼ポリシーの例では、`aws:SourceArn` 条件キーを使用して、インシデントレコードの ARN に基づいてサービスロールへのアクセスを制限しています。このロールを使用できるのは、対応計画 `myresponseplan` から作成されたインシデントレコードのみです。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*" } } } } ``` ------