Serviceübergreifende Confused-Deputy-Prävention - AWS Clean Rooms

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Confused-Deputy-Prävention

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen, die Kontextschlüssel für aws:SourceArnglobale Bedingungen in Ressourcenrichtlinien zu verwenden, um die folgenden Berechtigungen einzuschränken AWS Clean Rooms stellt der Ressource einen weiteren Dienst zur Verfügung. Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten.

Der effektivste Weg, sich vor dem Problem des verwirrten Stellvertreters zu schützen, besteht darin, den aws:SourceArn globalen Condition-Kontextschlüssel mit ARN der gesamten Ressource zu verwenden. In AWS Clean Rooms, Sie müssen auch mit dem sts:ExternalId Bedingungsschlüssel vergleichen.

Der Wert von aws:SourceArn muss auf den Wert der Mitgliedschaft in ARN der übernommenen Rolle gesetzt werden.

Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungskontextschlüssel in verwenden können AWS Clean Rooms um das Problem des verwirrten Stellvertreters zu vermeiden.

Anmerkung

Die Beispielrichtlinie bezieht sich auf die Vertrauensrichtlinie der Servicerolle, die AWS Clean Rooms verwendet, um auf Kundendaten zuzugreifen.

Der Wert von membershipID ist dein AWS Clean Rooms Mitglieds-ID in der Kollaboration. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike": {
                    "sts:ExternalId": "arn:aws:*:aws-region:*:dbuser:*/membershipID*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": "arn:aws:cleanrooms:aws-region:123456789012:membership/membershipID"
                }
            }
        }
    ]
}