SCS-C02#5(identity-access)

ある企業はクロスアカウントで他社 SaaS ベンダーに IAM ロールへの sts:AssumeRole を許可します。混乱した代理人 (confused deputy) 攻撃を防ぐため、ベンダーが意図せず他顧客のロールを引き受けないようにする必要があります。

どの仕組みを使用すべきですか。

A. ベンダーの IAM ユーザーに会社の AWS アクセスキーを直接共有し、ベンダー側のシステムに環境変数として埋め込むことで、シンプルな認証経路を実現します。
B. ベンダーの IP アドレスを Network ACL でホワイトリスト化し、信頼ポリシー側は Principal を指定するだけの最小構成として無条件に AssumeRole を許可する形で運用します。
C. ベンダーのアカウント番号のみを信頼ポリシーの Principal に指定し、それ以外の制約条件は省略してシンプルな構成を維持し運用負荷を抑えます。
D. 信頼ポリシーで sts:ExternalId を必須化します。

正解と解説ディスカッション 0

正解：D

External ID は SaaS ベンダーが他顧客のロールを誤って (または悪意で) 引き受けることを防ぐ AWS 公式の confused deputy 対策です。顧客ごとに一意の external ID を発行し、信頼ポリシーの sts:ExternalId 条件で必須化します。

コメント