Prévention du problème de l’adjoint confus entre services - AWS Clean Rooms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l’adjoint confus entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. Entrée AWS, l'usurpation d'identité interservices peut créer de la confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services dont les responsables ont obtenu l'accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés contextuelles des conditions aws:SourceArnglobales dans les politiques de ressources afin de limiter les autorisations qui AWS Clean Rooms donne un autre service à la ressource. Utilisez aws:SourceArn si vous souhaitez qu’une seule ressource soit associée à l’accès entre services.

Le moyen le plus efficace de se prémunir contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de la condition aws:SourceArn globale avec l'intégralité ARN de la ressource. Entrée AWS Clean Rooms, vous devez également comparer avec la clé de sts:ExternalId condition.

La valeur de aws:SourceArn doit être définie sur ARN l'appartenance au rôle assumé.

L'exemple suivant montre comment utiliser la clé de contexte de condition aws:SourceArn globale dans AWS Clean Rooms pour éviter le problème confus des adjoints.

Note

L'exemple de politique s'applique à la politique de confiance du rôle de service qui AWS Clean Rooms utilise pour accéder aux données des clients.

La valeur de membershipID est votre AWS Clean Rooms identifiant de membre de la collaboration. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike": {
                    "sts:ExternalId": "arn:aws:*:aws-region:*:dbuser:*/membershipID*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": "arn:aws:cleanrooms:aws-region:123456789012:membership/membershipID"
                }
            }
        }
    ]
}