AWS Systems Manager Incident Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Systems Manager Incident Manager 可用性變更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Incident Manager 中的跨服務混淆代理人預防 混淆代理人問題是當沒有執行動作許可的實體呼叫更特權的實體來執行動作時,發生的資訊安全問題。這可能會允許惡意執行者執行命令或修改他們沒有執行或存取許可的資源。 在 中 AWS,跨服務模擬可能會導致混淆代理人案例。跨服務模擬是指一個服務 (*呼叫服務*) 呼叫另一個服務 (*呼叫的服務*)。惡意行為者可以使用呼叫服務,使用他們通常沒有的許可來修改其他服務中的資源。 AWS 為服務主體提供對 帳戶中資源的受管存取權,以協助您保護資源的安全。我們建議您在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容金鑰。這些金鑰會限制為該資源 AWS Systems Manager Incident Manager 提供其他服務的許可。如果您同時使用兩個全域條件內容索引鍵,則在相同政策陳述式中使用 `aws:SourceAccount`值和 `aws:SourceArn`值中參考的帳戶時,必須使用相同的帳戶 ID。 的值`aws:SourceArn`必須是受影響事件記錄的 ARN。如果您不知道資源的完整 ARN,或如果您要指定多個資源,請將`aws:SourceArn`全域內容條件索引鍵與`*`萬用字元用於 ARN 的未知部分。例如,您可以將 `aws:SourceArn` 設定為 `arn:aws:ssm-incidents::111122223333:*`。 在下列信任政策範例中,我們使用 `aws:SourceArn`條件金鑰,根據事件記錄的 ARN 限制對服務角色的存取。只有從回應計劃建立的事件記錄`myresponseplan`才能使用此角色。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*" } } } } ``` ------