Debe ser administrador del sistema Amazon Chime para completar los pasos de esta guía. Si necesita ayuda con el cliente de escritorio, la aplicación web o la aplicación móvil de Amazon Chime, consulte Obtener asistencia en la Guía del usuario de Amazon Chime.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prevención de la sustitución confusa entre servicios
El problema del suplente confuso es un problema de seguridad que se produce cuando una entidad sin permiso para realizar una acción llama a una entidad con más privilegios para que la realice. Esto puede permitir que actores malintencionados ejecuten comandos o modifiquen recursos para los que, de otro modo, no tendrían permiso de ejecución ni acceso. Para obtener más información, consulte El problema del suplente confuso en la Guía del usuario de AWS Identity and Access Management .
En AWS, la suplantación de identidad entre servicios puede llevar a una situación de diputado confusa. La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). Un actor malintencionado puede utilizar el servicio de llamadas para alterar los recursos de otro servicio mediante permisos que normalmente no tendría.
AWS proporciona a los directores de servicio acceso gestionado a los recursos de tu cuenta para ayudarte a proteger la seguridad de tus recursos. Recomendamos utilizar las claves de contexto de condición global de aws:SourceAccount
en sus políticas de recursos. Estas claves limitan los permisos que otorga Amazon Chime a otro servicio para el recurso.
En los siguientes ejemplos se muestra una política de buckets de S3 que usa las claves de contexto de condición global de aws:SourceAccount
en el bucket de S3 de CallDetailRecords
configurado para evitar el problema del suplente confuso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "
AmazonChimeAclCheck668426
", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-cdr-bucket
" }, { "Sid": "AmazonChimeWrite668426
", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::your-cdr-bucket
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control
", "aws:SourceAccount": "112233446677
" } } } ] }