Prevención de la sustitución confusa entre servicios - Managed Service para Apache Flink

Amazon Managed Service para Apache Flink Amazon se denominaba anteriormente Amazon Kinesis Data Analytics para Apache Flink.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prevención de la sustitución confusa entre servicios

En AWS, la suplantación de identidad entre servicios puede producirse cuando un servicio (el servicio de llamadas) llama a otro servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas se puede manipular para actuar en función de los recursos de otro cliente a pesar de que no debe tener los permisos adecuados, lo que da como resultado un problema de suplente confuso.

Para evitar que los agentes confusos, AWS proporciona herramientas que lo ayudan a proteger sus datos en todos los servicios utilizando los directores de servicio a los que se les ha dado acceso a los recursos de su cuenta. Esta sección se centra en la prevención de problemas de suplentes confusos entre servicios específica de Managed Service para Apache Flink; sin embargo, puede obtener más información sobre este tema en la sección El problema del suplente confuso de la Guía del usuario de IAM.

En el contexto del servicio gestionado para Apache Flink, te recomendamos que utilices las claves de contexto aws: SourceArn y aws: SourceAccount global condition en tu política de confianza de roles para limitar el acceso al rol únicamente a las solicitudes generadas por los recursos esperados.

Utiliza aws:SourceArn si desea que solo se asocie un recurso al acceso entre servicios. Utiliza aws:SourceAccount si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.

El valor de aws:SourceArn debe ser el ARN del recurso utilizado por Managed Service para Apache Flink, que se especifica con el siguiente formato: arn:aws:kinesisanalytics:region:account:resource.

La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de contexto de condición global de aws:SourceArn con el ARN completo del recurso.

Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave aws:SourceArn con caracteres comodines (*) para las partes desconocidas del ARN. Por ejemplo: arn:aws:kinesisanalytics::111122223333:*.

Las políticas de roles que proporcione a Managed Service para Apache Flink, así como las políticas de confianza de los roles generados para usted, pueden utilizar estas claves.

Para protegerse contra el problema de suplente confuso, lleve a cabo los siguientes pasos:

Cómo protegerse contra el problema del suplente confuso

  1. Inicie sesión en la consola AWS de administración y abra la consola de IAM en. https://console.aws.amazon.com/iam/

  2. Elija Roles y, a continuación, seleccione el rol que desee modificar.

  3. Elija Editar la política de confianza.

  4. En la página Editar política de confianza, sustituya la política JSON predeterminada por una política que utilice una o ambas claves contextuales aws:SourceArn y aws:SourceAccount de condición global. Consulte el siguiente ejemplo de política:

  5. Elija Actualizar política.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kinesisanalytics.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
            }
         }
      }
   ]
}