교차 서비스 혼동된 대리자 방지 - Amazon Chime

지원 종료 공지: 2026년 2월 20일에 AWS 는 Amazon Chime 서비스에 대한 지원을 종료합니다. 2026년 2월 20일 이후에는 Amazon Chime 콘솔 또는 Amazon Chime 애플리케이션 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 이 블로그 게시물을 참조하세요. 참고: 이는 Amazon Chime SDK 서비스의 가용성에 영향을 주지 않습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 서비스 혼동된 대리자 방지

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티를 호출하여 작업을 수행하도록 하는 경우에 발생합니다. 이를 통해 악의적인 공격자는 실행 또는 액세스할 수 있는 권한이 없는 명령을 실행하거나 리소스를 수정할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서혼동된 대리자 문제를 참조하세요.

에서 AWS교차 서비스 가장은 혼동된 대리자 시나리오로 이어질 수 있습니다. 교차 서비스 가장은 한 서비스(직접적으로 호출하는 서비스)가 다른 서비스(직접적으로 호출되는 서비스)를 직접적으로 호출할 때 발생합니다. 악의적인 공격자는 호출 서비스를 활용해 평소에는 없는 권한을 사용하여 다른 서비스의 리소스를 변경할 수 있습니다.

AWS 는 서비스 보안 주체에게 계정의 리소스에 대한 관리형 액세스 권한을 제공하여 리소스의 보안을 보호합니다. 리소스 정책에는 aws:SourceAccount 전역 조건 컨텍스트 키를 사용하는 것이 좋습니다. 이러한 키는 Amazon Chime이 해당 리소스에 대해 다른 서비스에 주는 권한을 제한합니다.

아래의 예제에서는 혼동된 대리인 문제를 방지하는 데 도움이 되는 aws:SourceAccount S3 버킷에 구성된 CallDetailRecords 전역 조건 컨텍스트 키를 사용하는 S3 버킷 정책을 보여줍니다.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}