Exemple de politique de confiance qui utilise aws:SourceArn et aws:SourceAccount conditionne des clés Informations supplémentaires

Prévention du problème de l’adjoint confus entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client de sorte qu'il n'y aurait pas accès autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous vous recommandons d'utiliser le aws:SourceArn et aws:SourceAccountclés de contexte de condition globale dans les politiques de ressources pour limiter les autorisations qui AWS CloudFormation accordent un autre service à une ressource spécifique, telle qu'une CloudFormation extension. Utilisez aws:SourceArn si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Utilisez aws:SourceAccount si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.

Assurez-vous que la valeur de aws:SourceArn est une ARN de la ressource qui CloudFormation stocke.

Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de la condition aws:SourceArn globale avec l'intégralité ARN de la ressource. Si vous ne connaissez pas l'intégralité ARN de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de condition contextuelle aws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:cloudformation:*:123456789012:*.

Si la aws:SourceArn valeur ne contient pas l'ID du compte, vous devez utiliser les deux clés contextuelles de condition globale pour limiter les autorisations.

L'exemple suivant montre comment utiliser les touches de contexte de condition aws:SourceAccount globale aws:SourceArn et globale CloudFormation pour éviter le problème de confusion des adjoints.

Exemple de politique de confiance qui utilise `aws:SourceArn` et `aws:SourceAccount` conditionne des clés

Pour les services de CloudFormation registre, appelle AWS Security Token Service (AWS STS) pour assumer un rôle de service dans votre compte. Ce rôle est configuré pour ExecutionRoleArn RegisterTypefonctionnement et LogRoleArn réglage dans le LoggingConfigopération. Pour de plus amples informations, veuillez consulter Configurer un rôle d'exécution avec des IAM autorisations et une politique de confiance pour l'accès public aux extensions.

Cet exemple de politique de confiance dans les rôles utilise des instructions de condition pour limiter la AssumeRole capacité du rôle de service aux seules actions portant sur l' CloudFormation extension spécifiée dans le compte spécifié. Les conditions aws:SourceArn et aws:SourceAccount sont évaluées indépendamment. Toute demande d'utilisation de la fonction du service doit répondre aux deux conditions.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resources.cloudformation.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:us-east-1:123456789012:type/resource/Organization-Service-Resource/*"
        }
      }
    }
  ]
}

Informations supplémentaires

Par exemple, les politiques qui utilisent les clés de contexte de condition aws:SourceAccount globale aws:SourceArn et les clés de contexte pour un rôle de service utilisé par StackSets, voirConfigurez des clés globales pour atténuer les problèmes de député confus.

Pour plus d'informations, voir Mettre à jour une politique de confiance dans les rôles dans le Guide de IAM l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS CloudFormation rôle de service

Enregistrement API des appels