Der Rollenalias ermöglicht den Zugriff auf ungenutzte Dienste

Ein AWS IoT-Rollenalias stellt einen Mechanismus für verbundene Geräte zur Authentifizierung bei der AWS IoT mithilfe von X.509-Zertifikaten bereit. Anschließend erhalten Sie AWS-Anmeldeinformationen mit kurzer Lebensdauer von einer IAM-Rolle, die einem AWS IoT-Rollenalias zugeordnet ist. Die Berechtigungen für diese Anmeldeinformationen müssen mithilfe von Zugriffsrichtlinien mit Authentifizierungskontextvariablen eingeschränkt werden. Wenn Ihre Richtlinien nicht korrekt konfiguriert sind, können Sie einer Eskalation von Privilegien ausgesetzt sein. Diese Audit-Prüfung stellt sicher, dass die temporären Anmeldeinformationen, die von AWS IoT-Rollenaliasen bereitgestellt werden, nicht übermäßig großzügig sind.

Diese Prüfung wird ausgelöst, wenn der Rollenalias Zugriff auf Dienste hat, die im letzten Jahr nicht für das AWS IoT-Gerät verwendet wurden. Die Prüfung meldet beispielsweise, wenn Sie eine mit dem Rollenalias verknüpfte IAM-Rolle haben, die nur AWS IoT im letzten Jahr verwendet hat, wobei die der Rolle angehängte Richtlinie jedoch auch Berechtigungen für "iam:getRole" und "dynamodb:PutItem" gewährt.

Diese Prüfung wird wie IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK in der CLI und API angezeigt.

Schweregrad: Mittel

Details

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung eine nicht-konforme AWS IoT-Richtlinie findet:

Warum dies wichtig ist

Indem Sie Berechtigungen auf jene Dienste beschränken, die zum normalen Betrieb eines Geräts erforderlich sind, reduzieren Sie die Risiken für Ihr Konto, wenn ein Gerät gefährdet ist.

So lässt es sich beheben

Gehen Sie wie folgt vor, um alle nicht konformen Richtlinien zu korrigieren, die an Objekte, Objektgruppen oder andere Entitäten angefügt sind:

Sie können mit Abhilfemaßnahmen für Folgendes verwenden:

Weitere Informationen finden Sie unter Abschwächungsaktionen.