Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend) - Amazon Rekognition

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)

InAWS, dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (derAnrufservice) ruft einen anderen Dienst auf (denService genannt). Der Anrufer kann manipuliert werden, um die Ressourcen eines anderen Kunden zu beanspruchen, obwohl er nicht über die entsprechenden Berechtigungen verfügen sollte, was zu einem verwirrten Stellvertreter führt.

Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen die Verwendung desaws:SourceArnundaws:SourceAccountglobale Bedingungskontextschlüssel in Ressourcenrichtlinien, um die Berechtigungen einzuschränken, die Amazon Rekognition einem anderen Service für die Ressource gewährt.

Wenn der Wert vonaws:SourceArnenthält nicht die Konto-ID, z. B. einen Amazon S3-Bucket-ARN. Sie müssen beide Schlüssel verwenden, um die Berechtigungen einzuschränken. Wenn Sie beide Schlüssel und dieaws:SourceArnWert enthält die Konto-ID, dieaws:SourceAccountWert und das Konto in deraws:SourceArnDer Wert muss dieselbe Konto-ID verwenden, wenn er in derselben Datenschutzerklärung verwendet wird.

Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie aws:SourceAccount, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.

Der Wert vonaws:SourceArnmuss der ARN der von Rekognition verwendeten Ressource sein, der mit dem folgenden Format spezifiziert ist:arn:aws:rekognition:region:account:resource.

Der Wert vonarn:User ARNsollte der ARN des Benutzers sein, der den Videoanalysevorgang aufruft (der Benutzer, der eine Rolle übernimmt).

Der empfohlene Ansatz für das Problem des verwirrten Stellvertreters ist die Verwendung desaws:SourceArnglobaler Bedingungskontextschlüssel mit dem vollständigen Ressourcen-ARN.

Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie denaws:SourceArnSchlüssel mit Platzhalterzeichen (*) für die unbekannten Teile des ARN. Zum Beispiel arn:aws:rekognition:*:111122223333:*.

Gehen Sie wie folgt vor, um sich vor dem Problem des verwirrten Stellvertreters zu schützen:

  1. Wählen Sie im Navigationsbereich der IAM-Konsole dieRollenOption. In der Konsole werden die Rollen für Ihr aktuelles Konto angezeigt.

  2. Wählen Sie den Namen der Rolle, die Sie ändern möchten. Die Rolle, die Sie ändern, sollte dieAmazonRekognitionServiceRoleGenehmigungsrichtlinie. Wählen Sie dieVertrauensbeziehungenTab.

  3. Wählen Sie Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.

  4. Auf derVertrauensrichtlinie bearbeitenSeite, ersetzen Sie die standardmäßige JSON-Richtlinie durch eine Richtlinie, die eine oder beide deraws:SourceArnundaws:SourceAccountglobale Bedingungskontextschlüssel. Sehen Sie sich die folgenden Beispielrichtlinien an.

  5. Wählen Sie Update policy.

Die folgenden Beispiele sind Vertrauensrichtlinien, die zeigen, wie Sie die verwenden könnenaws:SourceArnundaws:SourceAccountglobale Bedingungskontextschlüssel in Amazon Rekognition, um das verwirrte Deputy-Problem zu vermeiden.

Wenn Sie mit gespeicherten Videos arbeiten und streamen, können Sie in Ihrer IAM-Rolle eine Richtlinie wie die folgende verwenden:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"rekognition.amazonaws.com",
            "AWS":"arn:User ARN"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            },
            "StringLike":{
               "aws:SourceArn":"arn:aws:rekognition:region:111122223333:streamprocessor/*"
            }
         }
      }
   ]
}

Wenn Sie ausschließlich mit gespeicherten Videos arbeiten, können Sie in Ihrer IAM-Rolle eine Richtlinie wie die folgende verwenden (beachten Sie, dass Sie dieStringLikeArgument, das spezifiziert diestreamprocessor):

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"rekognition.amazonaws.com",
            "AWS":"arn:User ARN"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            }
         }
      }
   ]
}