基于此链接:https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html令人困惑的代理问题是,一个客户恶意使用同一服务的另一位客户的角色ARN。
假设每个客户都在外部服务中注册其帐户ID。基于上述链接,只有当我们盲目地信任客户返回的角色ARN时,代理问题才混乱。由于角色ARN包括在其中创建角色的AWS帐号,因此,如果我们可以验证客户返回的角色ARN包括该客户注册的AWS帐号之一,它将用作检查混淆的代理问题的依据?
即使恶意客户最终注册了一个他不拥有的任意AWS账户,也没有办法强迫他创建具有所需信任关系的AWS角色,以使外部服务对其执行操作。
PS:在我的理解以及external_id在解决此问题中的作用上可能存在一些脱节,我确实认为需要external_id。我只想知道上述论点的缺陷。