Serviceübergreifende Confused-Deputy-Prävention

Wichtig

Hinweis zum Ende des Supports: Bestandskunden können Amazon QLDB bis zum Ende des Supports am 31.07.2025 nutzen. Weitere Informationen finden Sie unter Migrieren eines Amazon QLDB Ledgers zu Amazon Aurora SQL Postgre.

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In der AWS Tat kann ein dienstübergreifender Identitätswechsel zu einem Problem mit dem verwirrten Stellvertreter führen.

Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um das Problem des unübersichtlichen Stellvertreters zu vermeiden, AWS bietet dieses Tool Tools, mit denen Sie Ihre Daten für alle Dienste schützen können, deren Dienstprinzipale Zugriff auf Ressourcen in Ihrem Konto haben.

Wir empfehlen, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon einem anderen Service für die Ressource QLDB erteilt. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der aws:SourceAccount Wert und das Konto im aws:SourceArn Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

In der folgenden Tabelle sind mögliche Werte aws:SourceArn für die StreamsJournalToKinesisQLDBAPIOperationen ExportJournalToS3und aufgeführt. Diese Operationen fallen unter dieses Sicherheitsproblem, da sie AWS Security Token Service (AWS STS) aufrufen, um eine von Ihnen angegebene IAM Rolle anzunehmen.

APIOperation Aufgerufener Service war: SourceArn

APIOperation	Aufgerufener Service	war: SourceArn
`ExportJournalToS3`	AWS STS (`AssumeRole`)	Ermöglicht QLDB die Übernahme der Rolle für alle QLDB Ressourcen im Konto: `arn:aws:qldb:us-east-1:123456789012:*` Derzeit wird dieser Platzhalter QLDB nur ARN für Journalexporte unterstützt.
`StreamsJournalToKinesis`	AWS STS (`AssumeRole`)	Ermöglicht QLDB die Übernahme der Rolle für einen bestimmten QLDB Stream: `arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/IiPT4brpZCqCq3f4MTHbYy` Hinweis: Sie können eine Stream-ID nur angeben, ARN nachdem die Stream-Ressource erstellt wurde. Auf diese Weise können Sie zulassenARN, dass die Rolle nur für einen einzelnen QLDB Stream verwendet wird. Ermöglicht QLDB die Übernahme der Rolle für beliebige QLDB Streams eines Ledgers: `arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/` Erlaubt QLDB es, die Rolle für alle QLDB Streams im Konto zu übernehmen: `arn:aws:qldb:us-east-1:123456789012:stream/` Ermöglicht QLDB die Übernahme der Rolle für alle QLDB Ressourcen im Konto: `arn:aws:qldb:us-east-1:123456789012:*`

ExportJournalToS3

AWS STS (AssumeRole)

Ermöglicht QLDB die Übernahme der Rolle für alle QLDB Ressourcen im Konto:


arn:aws:qldb:us-east-1:123456789012:*

Derzeit wird dieser Platzhalter QLDB nur ARN für Journalexporte unterstützt.

StreamsJournalToKinesis

AWS STS (AssumeRole)

Ermöglicht QLDB die Übernahme der Rolle für einen bestimmten QLDB Stream:


arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/IiPT4brpZCqCq3f4MTHbYy

Hinweis: Sie können eine Stream-ID nur angeben, ARN nachdem die Stream-Ressource erstellt wurde. Auf diese Weise können Sie zulassenARN, dass die Rolle nur für einen einzelnen QLDB Stream verwendet wird.

Ermöglicht QLDB die Übernahme der Rolle für beliebige QLDB Streams eines Ledgers:


arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*

Erlaubt QLDB es, die Rolle für alle QLDB Streams im Konto zu übernehmen:


arn:aws:qldb:us-east-1:123456789012:stream/*

Ermöglicht QLDB die Übernahme der Rolle für alle QLDB Ressourcen im Konto:


arn:aws:qldb:us-east-1:123456789012:*

Der effektivste Schutz vor dem Problem mit dem verwirrten Stellvertreter besteht darin, den Kontextschlüssel für aws:SourceArn globale Bedingungen mit ARN der gesamten Ressource zu verwenden. Wenn Sie die gesamte ARN Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit Platzhalterzeichen (*) für die unbekannten Teile von ARN — zum Beispiel. arn:aws:qldb:us-east-1:123456789012:*

Das folgende Beispiel für eine Vertrauensrichtlinie für eine IAM Rolle zeigt, wie Sie die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern. Mit dieser Vertrauensrichtlinie QLDB kann die Rolle für jeden QLDB Stream im Konto myExampleLedger nur 123456789012 für das Hauptbuch übernommen werden.

Um diese Richtlinie zu verwenden, ersetzen Sie us-east-1, 123456789012, und myExampleLedger im Beispiel mit Ihren eigenen Informationen.


{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "qldb.amazonaws.com"
    },
    "Action": [ "sts:AssumeRole" ],
    "Condition": {
      "ArnEquals": {
        "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

AWS verwaltete Richtlinien