Confused-Deputy-Prävention - Amazon Fraud Detector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Confused-Deputy-Prävention

Das Problem mit dem verwirrten Stellvertreter tritt auf, wenn eine Entität, die nicht zur Durchführung einer Aktion berechtigt ist, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. AWS stellt Tools bereit, mit denen Sie Ihr Konto schützen können, wenn Sie Dritten (als kontoübergreifend bezeichnet) oder anderen AWS Diensten (als dienstübergreifend bezeichnet) Zugriff auf Ressourcen in Ihrem Konto gewähren.

Ein dienstübergreifendes Problem mit verwirrtem Stellvertreter kann auftreten, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den angerufenen Dienst) anruft. Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, können Sie Richtlinien erstellen, die Ihnen helfen, Ihre Daten für alle Dienste mit Dienstprinzipalen zu schützen, denen Zugriff auf die Ressourcen Ihres Dienstes gewährt wurde.

Amazon Fraud Detector unterstützt die Verwendung von Servicerollen in Ihren Berechtigungsrichtlinien, damit ein Service in Ihrem Namen auf die Ressourcen eines anderen Dienstes zugreifen kann. Eine Rolle erfordert zwei Richtlinien: eine Rollenvertrauensrichtlinie, die den Prinzipal angibt, der die Rolle übernehmen darf, und eine Berechtigungsrichtlinie, die angibt, was mit der Rolle gemacht werden kann. Wenn ein Dienst eine Rolle in Ihrem Namen übernimmt, muss der Service-Prinzipal diests:AssumeRole-Aktion in der Rollenvertrauensrichtlinie ausführen dürfen. Wenn ein Service anruftsts:AssumeRole, wird ein Satz temporärer Sicherheitsanmeldedaten AWS STS zurückgegeben, die der Service-Principal verwendet, um auf die Ressourcen zuzugreifen, die gemäß der Berechtigungsrichtlinie der Rolle zulässig sind.

Um ein dienstübergreifendes Problem mit verwirrten Stellvertretern zu vermeiden, empfiehlt Amazon Fraud Detector, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungskontextschlüssel in Ihrer Rollenvertrauensrichtlinie zu verwenden, um den Zugriff auf die Rolle nur auf die Anfragen zu beschränken, die von den erwarteten Ressourcen generiert werden.

Das aws:SourceAccount gibt die Konto-ID und das den ARN der Ressource aws:SourceArn an, die dem dienstübergreifenden Zugriff zugeordnet ist. Das aws:SourceArn muss im ARN-Format angegeben werden. Stellen Sie sicher, dass aws:SourceArn beide aws:SourceAccount und dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit einem Platzhalter (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:servicename:*:123456789012:*. Informationen zu den Ressourcen und Aktionen von Amazon Fraud Detector, die Sie in Ihren Berechtigungsrichtlinien verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Fraud Detector.

Im folgenden Beispiel für eine Rollenvertrauensrichtlinie wird ein Platzhalter (*) im aws:SourceArn Bedingungsschlüssel verwendet, um Amazon Fraud Detector Zugriff auf mehrere Ressourcen zu gewähren, die mit der Konto-ID verknüpft sind.

{
        "Version": "2012-10-17",
        "Statement": [
             {
               "Effect": "Allow",
               "Principal": {
               "Service": [
                   "frauddetector.amazonaws.com"
                   ]                
               },
               "Action": "sts:AssumeRole",
               "Condition": {
               "StringEquals": {
                   "aws:SourceAccount": "123456789012"
               },
                 "StringLike": {
                    "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:*"
        }
      }
    }
  ]
}

Die folgende Rollenvertrauensrichtlinie ermöglicht Amazon Fraud Detector nur den Zugriff auf external-model Ressourcen. Beachten Sie den aws:SourceArn Parameter im Condition-Block. Der Ressourcenqualifizierer wird unter Verwendung des Modellendpunkts erstellt, der für den PutExternalModel API-Aufruf bereitgestellt wird. 


    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "frauddetector.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly"
        }
      }
    }
  ]
}