Serviceübergreifende Confused-Deputy-Prävention

In kann es zu einem dienstübergreifenden Identitätswechsel kommen AWS, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den aufgerufenen Dienst) aufruft. Der aufrufende Service kann so manipuliert werden, dass er auf die Ressourcen eines anderen Kunden reagiert, obwohl er nicht über die entsprechenden Berechtigungen verfügen sollte, was zu einem Verwirrter-Stellvertreter-Problem führt.

Um zu verhindern, dass Abgeordnete verwirrt werden, AWS bietet dieses Tool Tools, mit denen Sie Ihre Daten für alle Dienste schützen können. Dabei werden Dienstprinzipale verwendet, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde. In diesem Abschnitt wird speziell für Managed Service für Apache Flink die Vermeidung von Problemen mit verwirrten Stellvertretern zwischen verschiedenen Diensten behandelt. Weitere Informationen zu diesem Thema finden Sie im Abschnitt Das Problem mit verwirrten Stellvertretern im Benutzerhandbuch. IAM

Im Zusammenhang mit Managed Service für Apache Flink empfehlen wir, die SourceAccount globalen Bedingungsschlüssel aws: SourceArn und aws: in Ihrer Rollenvertrauensrichtlinie zu verwenden, um den Zugriff auf die Rolle nur auf die Anfragen zu beschränken, die von den erwarteten Ressourcen generiert werden.

Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie aws:SourceAccount, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.

Der Wert von aws:SourceArn muss der Ressource entsprechen, die ARN von Managed Service für Apache Flink verwendet wird. Sie wird im folgenden Format angegeben:. arn:aws:kinesisanalytics:region:account:resource

Der empfohlene Ansatz zur Lösung des Problems mit dem verwirrten Deputy besteht darin, den Kontextschlüssel für aws:SourceArn globale Bedingungen zusammen mit der gesamten Ressource ARN zu verwenden.

Wenn Sie die gesamte ARN Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn Schlüssel mit Platzhalterzeichen (*) für die unbekannten Teile von. ARN Beispiel: arn:aws:kinesisanalytics::111122223333:*.

Richtlinien für Rollen, die Sie Managed Service für Apache Flink zur Verfügung stellen, sowie Vertrauensrichtlinien für Rollen, die für Sie generiert wurden, können diese Schlüssel verwenden.

Um sich vor dem Confused-Deputy-Problem zu schützen, führen Sie die folgenden Schritte durch:

Schutz vor dem Verwirrter-Stellvertreter-Problem

Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie Rollen und dann die Rolle aus, die Sie ändern möchten.
Wählen Sie Vertrauensrichtlinie bearbeiten aus.
Ersetzen Sie auf der Seite Vertrauensrichtlinie bearbeiten die JSON Standardrichtlinie durch eine Richtlinie, die einen oder beide der Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel verwendet. Im Folgenden ist eine Beispielrichtlinie aufgeführt:

Wählen Sie Richtlinie aktualisieren.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kinesisanalytics.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
            }
         }
      }
   ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Konformitätsvalidierung für Managed Service für Apache Flink