Beispiele zur Begrenzung des Problems mit verwirrtem Stellvertreter - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele zur Begrenzung des Problems mit verwirrtem Stellvertreter

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In: AWS Dienststellenübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Weitere Details finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

Anmerkung

Ersetzen Sie in den folgenden Beispielen jedes user input placeholder mit Ihren eigenen Informationen.

In diesen Beispielen können Sie die ARN Details für einen Workflow entfernen, wenn an Ihren Server keine Workflows angehängt sind.

Das folgende Beispiel für eine Protokollierungs-/Aufruf-Richtlinie ermöglicht es jedem Server (und Workflow) im Konto, die Rolle zu übernehmen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllServersWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnLike": {
                   "aws:SourceArn": [
                     "arn:aws:transfer:region:account-id:server/*",
                     "arn:aws:transfer:region:account-id:workflow/*"
                   ]
                }
            }
        }
    ]
}

Das folgende Beispiel für eine Protokollierungs-/Aufruf-Richtlinie ermöglicht es einem bestimmten Server (und Workflow), die Rolle zu übernehmen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificServerWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                   "aws:SourceArn": [
                       "arn:aws:transfer:region:account-id:server/server-id",
                       "arn:aws:transfer:region:account-id:workflow/workflow-id"
                   ]
                }
            }
        }
    ]
}