Serviceübergreifende Confused-Deputy-Prävention - AWS Clean Rooms

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Confused-Deputy-Prävention

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS, dienststellenübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern AWS stellt Tools bereit, die Ihnen helfen, Ihre Daten für alle Dienste mit Service Principals zu schützen, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen die Verwendung der aws:SourceArnglobalen Bedingungskontextschlüssel in Ressourcenrichtlinien, um die folgenden Berechtigungen einzuschränken AWS Clean Rooms stellt der Ressource einen weiteren Dienst zur Verfügung. Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten.

Der effektivste Weg, sich vor dem Problem des verwirrten Stellvertreters zu schützen, besteht darin, den aws:SourceArn globalen Condition-Kontextschlüssel mit ARN der gesamten Ressource zu verwenden. In AWS Clean Rooms, müssen Sie auch mit dem sts:ExternalId Bedingungsschlüssel vergleichen.

Der Wert von aws:SourceArn muss auf den Wert der Mitgliedschaft in ARN der übernommenen Rolle gesetzt werden.

Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungskontextschlüssel in verwenden können AWS Clean Rooms um das Problem des verwirrten Stellvertreters zu vermeiden.

Anmerkung

Die Beispielrichtlinie bezieht sich auf die Vertrauensrichtlinie der Servicerolle, die AWS Clean Rooms verwendet, um auf Kundendaten zuzugreifen.

Der Wert von membershipID ist dein AWS Clean Rooms Mitglieds-ID in der Kollaboration. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike": {
                    "sts:ExternalId": "arn:aws:*:aws-region:*:dbuser:*/membershipID*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": "arn:aws:cleanrooms:aws-region:123456789012:membership/membershipID"
                }
            }
        }
    ]
}