El alias de rol es demasiado permisivo - AWS IoT Device Defender
Detalles¿Por qué importa?Cómo solucionarlo

El alias de rol es demasiado permisivo

El alias de rol de AWS IoT proporciona un mecanismo para que los dispositivos conectados se autentiquen en AWS IoT mediante certificados X.509 y obtengan credenciales de AWS de corta duración de un rol de IAM asociado a un alias de rol de AWS IoT. Los permisos para estas credenciales se deben reducir mediante políticas de acceso con variables de contexto de autenticación. Si las políticas no están configuradas correctamente, podría quedar expuesto a una escalada de ataque de privilegios. Esta comprobación de auditoría garantiza que las credenciales temporales proporcionadas por los alias de rol de AWS IoT no sean excesivamente permisivas.

Esta comprobación se activa si se encuentra una de las siguientes condiciones:

  • La política proporciona permisos administrativos a todos los servicios utilizados en el último año por este alias de rol (por ejemplo, "iot:*", "dynamodb:*", "iam:*", etc.).

  • La política proporciona un amplio acceso a acciones de metadatos de objetos, acceso a acciones de AWS IoT restringidas o un amplio acceso a acciones del plano de datos de AWS IoT.

  • La política proporciona acceso a servicios de auditoría de seguridad como "iam", "cloudtrail", "guardduty", "inspector" o "trustedadvisor".

Esta comprobación aparece como IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK en la CLI y la API.

Gravedad: crítica

Detalles

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra una política de IoT no conforme:

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

¿Por qué importa?

Al limitar los permisos a aquellos que se requieren para que un dispositivo realice sus operaciones normales, se reducen los riesgos de su cuenta si un dispositivo es víctima de un ataque.

Cómo solucionarlo

Siga estos pasos para corregir las políticas no conformes asociadas a objetos, grupos de objetos u otras entidades:

  1. Siga los pasos que encontrará en Autorización de llamadas directas a los servicios de AWS mediante un proveedor de credenciales de AWS IoT Core para aplicar una política más restrictiva al alias de su rol.

Puede utilizar acciones de mitigación para:

  • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una acción personalizada en respuesta al mensaje de Amazon SNS.

Para obtener más información, consulte Acciones de mitigación.