El alias del rol permite el acceso a los servicios no utilizados

El alias de rol de AWS IoT proporciona un mecanismo para que los dispositivos conectados se autentiquen en AWS IoT mediante certificados X.509 y obtengan credenciales de AWS de corta duración de un rol de IAM asociado a un alias de rol de AWS IoT. Los permisos para estas credenciales se deben reducir mediante políticas de acceso con variables de contexto de autenticación. Si las políticas no están configuradas correctamente, podría quedar expuesto a una escalada de ataque de privilegios. Esta comprobación de auditoría garantiza que las credenciales temporales proporcionadas por los alias de rol de AWS IoT no sean excesivamente permisivas.

Esta comprobación se activa si el alias de rol tiene acceso a servicios que no se han utilizado para el dispositivo de AWS IoT en el último año. Por ejemplo, la auditoría le informa si tiene un rol de IAM vinculado al alias de rol que solo ha utilizado AWS IoT en el último año, pero la política asociada al rol también concede permiso a "iam:getRole" y "dynamodb:PutItem".

Esta comprobación aparece como IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK en la CLI y la API.

Gravedad: media

Detalles

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra una política de AWS IoT no conforme:

¿Por qué importa?

Al limitar los permisos a los servicios que se requieren para que un dispositivo realice sus operaciones normales, se reducen los riesgos de su cuenta si un dispositivo es víctima de un ataque.

Cómo solucionarlo

Siga estos pasos para corregir las políticas no conformes asociadas a objetos, grupos de objetos u otras entidades:

Puede utilizar acciones de mitigación para:

Para obtener más información, consulte Acciones de mitigación.