Serviceübergreifende Confused-Deputy-Prävention

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der aufrufende Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zuzugreifen, obwohl er dazu nicht berechtigt ist. Um dies zu verhindern, bietet Amazon Web Services Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen zu beschränken, die einem anderen Dienst für den Zugriff auf Ihre Ressourcen AWS Audit Manager gewährt werden.

Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Wenn Sie mehrere Ressourcen angeben möchten, können Sie auch aws:SourceArn mit einem Platzhalter (*) verwenden.

Sie können beispielsweise ein SNS Amazon-Thema verwenden, um Aktivitätsbenachrichtigungen von Audit Manager zu erhalten. In diesem Fall aws:SourceArn ist in Ihrer SNS Themenzugriffsrichtlinie der ARN Wert von die Audit Manager Manager-Ressource, von der die Benachrichtigung stammt. Da Sie wahrscheinlich über mehrere Audit Manager-Ressourcen verfügen, empfehlen wir die Verwendung von aws:SourceArn mit einem Platzhalter. Auf diese Weise können Sie alle Ihre Audit Manager Manager-Ressourcen in Ihrer SNS Themenzugriffsrichtlinie angeben.
Verwenden Sie aws:SourceAccount, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Wenn der aws:SourceArn Wert die Konto-ID nicht enthält, z. B. ein Amazon S3 S3-BucketARN, müssen Sie beide globalen Bedingungskontextschlüssel verwenden, um die Berechtigungen einzuschränken.
Wenn Sie beide Bedingungen verwenden und der aws:SourceArn-Wert die Konto-ID enthält, müssen der aws:SourceAccount-Wert und das Konto im aws:SourceArn-Wert die gleiche Konto-ID aufweisen, wenn sie in der gleichen Richtlinienanweisung verwendet werden.
Der effektivste Weg, sich vor dem Problem mit dem verwirrten Stellvertreter zu schützen, besteht darin, den aws:SourceArn globalen Bedingungskontextschlüssel mit ARN der gesamten Ressource zu verwenden. Wenn Sie den vollständigen Amazon-Ressourcennamen (ARN) der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit Platzhalterzeichen (*) für die unbekannten Teile von. ARN Beispiel, arn:aws:servicename:*:123456789012:*.

Audit Manager Confused-Deputy-Support

Audit Manager bietet verwirrte stellvertretende Unterstützung in den folgenden Szenarien. Diese Richtlinienbeispiele zeigen, wie Sie die aws:SourceArn- und aws:SourceAccount-Bedingungsschlüssel verwenden können, um das Confused-Deputy-Support-Problem zu vermeiden.

Audit Manager bietet keinen Confused-Deputy-Support für den kundenverwalteten Schlüssel, den Sie in Ihren Audit Manager Konfiguration Ihrer Datenverschlüsselungseinstellungen-Einstellungen angeben. Wenn Sie Ihren eigenen, vom Kunden verwalteten Schlüssel bereitgestellt haben, können Sie die aws:SourceArn Bedingungen in dieser KMS Schlüsselrichtlinie nicht verwendenaws:SourceAccount.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

AWS verwaltete Richtlinien