Zu permissiver Rollenalias - AWS IoT Device Defender

Zu permissiver Rollenalias

Ein AWS IoT-Rollenalias stellt einen Mechanismus für verbundene Geräte zur Authentifizierung bei der AWS IoT mithilfe von X.509-Zertifikaten bereit. Anschließend erhalten Sie AWS-Anmeldeinformationen mit kurzer Lebensdauer von einer IAM-Rolle, die einem AWS IoT-Rollenalias zugeordnet ist. Die Berechtigungen für diese Anmeldeinformationen müssen mithilfe von Zugriffsrichtlinien mit Authentifizierungskontextvariablen eingeschränkt werden. Wenn Ihre Richtlinien nicht korrekt konfiguriert sind, können Sie einer Eskalation von Privilegien ausgesetzt sein. Diese Audit-Prüfung stellt sicher, dass die temporären Anmeldeinformationen, die von AWS IoT-Rollenaliasen bereitgestellt werden, nicht übermäßig großzügig sind.

Diese Prüfung wird ausgelöst, wenn eine der folgenden Bedingungen gefunden wird:

  • Die Richtlinie stellt Administratorberechtigungen für alle Dienste bereit, die im vergangenen Jahr von diesem Rollenalias verwendet wurden (z. B. „iot:*“, „dynamodb:*“, „iam:*“ usw.).

  • Die Richtlinie bietet breiten Zugriff auf Metadatenaktionen, Zugriff auf eingeschränkte AWS IoT-Aktionen oder umfassenden Zugriff auf AWS IoT-Aktionen auf Datenebene.

  • Die Richtlinie bietet Zugriff auf Sicherheitsüberwachungsdienste wie „iam“, „cloudtrail“, „guardduty“, „inspector“ oder „trustedadvisor“.

Diese Prüfung wird wie IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK in der CLI und API angezeigt.

Schweregrad: Kritisch

Details

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung eine nicht-konforme IoT-Richtlinie findet:

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

Warum dies wichtig ist

Indem Sie Berechtigungen auf diejenigen beschränken, die zum normalen Betrieb eines Geräts erforderlich sind, reduzieren Sie die Risiken für Ihr Konto, wenn ein Gerät gefährdet ist.

So lässt es sich beheben

Gehen Sie wie folgt vor, um alle nicht konformen Richtlinien zu korrigieren, die an Objekte, Objektgruppen oder andere Entitäten angefügt sind:

  1. Führen Sie die Schritte unter Autorisieren von direkten Aufrufen von AWS-Services mithilfe des AWS IoT Core-Anmeldeinformationsanbieters aus, um eine restriktivere Richtlinie auf Ihren Rollenalias anzuwenden.

Sie können mit Abhilfemaßnahmen für Folgendes verwenden:

  • Wenden Sie die PUBLISH_FINDINGS_TO_SNS-Abhilfemaßnahme an, wenn Sie eine benutzerdefinierte Aktion als Antwort auf die Amazon SNS-Nachricht implementieren möchten.

Weitere Informationen finden Sie unter Abschwächungsaktionen.