На основании этой ссылки: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html запутанная проблема заместителя, когда один клиент злонамеренно использует роль ARN другого клиента той же службы.
Предполагая, что каждый клиент регистрирует свои идентификаторы учетной записи во внешней службе.Исходя из вышеуказанной ссылки, проблема запутанного заместителя возникает только тогда, когда мы слепо доверяем роли ARN, возвращенной клиентом.Поскольку роль ARN включает в себя номер учетной записи AWS, в которой создается роль, если мы сможем подтвердить, что возвращаемая клиентом роль ARN включает один из номеров учетной записи AWS, зарегистрированных этим клиентом, это будет служить проверкой на проблему запутанного заместителя.?
Даже если злонамеренный клиент заканчивает тем, что регистрирует произвольную учетную запись AWS, которой он не владеет, у него нет никакого способа заставить создание роли AWS с необходимыми доверительными отношениями, чтобы внешняя служба могла действоватьЭто.
PS: В моем понимании могут быть некоторые несоответствия и роль external_id в решении этой проблемы, и я считаю, что external_id необходим.Я просто хочу знать недостатки с приведенным выше аргументом.