Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Prévention de la confusion entre les services par les adjoints dans Incident Manager - Incident Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention de la confusion entre les services par les adjoints dans Incident Manager

PDFRSS

Le problème des adjoints confus est un problème de sécurité de l'information qui se produit lorsqu'une entité non autorisée à effectuer une action appelle une entité plus privilégiée pour effectuer l'action. Cela peut permettre à des acteurs malveillants d'exécuter des commandes ou de modifier des ressources qu'ils n'auraient pas l'autorisation d'exécuter ou d'accéder autrement.

Dans AWS, l'usurpation d'identité interservices peut mener à un scénario d'adjoint confus. L'usurpation d'identité interservices se produit lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Un acteur malveillant peut utiliser le service d'appel pour modifier les ressources d'un autre service en utilisant des autorisations qu'il n'aurait pas normalement obtenues.

AWS fournit aux responsables du service un accès géré aux ressources de votre compte afin de vous aider à protéger la sécurité de vos ressources. Nous vous recommandons d'utiliser les clés de contexte de condition aws:SourceAccountglobale aws:SourceArnet les clés contextuelles dans vos politiques de ressources. Ces clés limitent les autorisations qui fournissent AWS Systems Manager Incident Manager un autre service à cette ressource. Si vous utilisez les deux clés contextuelles de condition globale, la aws:SourceAccount valeur et le compte référencés dans la aws:SourceArn valeur doivent utiliser le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique.

La valeur de aws:SourceArn doit être l'ARN de l'enregistrement d'incident concerné. Si vous ne connaissez pas l'ARN complet de la ressource, ou si vous spécifiez plusieurs ressources, utilisez la clé de condition de contexte aws:SourceArn global avec le * caractère générique pour les parties inconnues de l'ARN. Par exemple, vous pouvez aws:SourceArn définir surarn:aws:ssm-incidents::111122223333:*.

Dans l'exemple de politique de confiance suivant, nous utilisons la clé de aws:SourceArn condition pour restreindre l'accès au rôle de service en fonction de l'ARN de l'enregistrement de l'incident. Seuls les enregistrements d'incidents créés à partir du plan myresponseplan d'intervention peuvent utiliser ce rôle.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "ssm-incidents.amazonaws.com" },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*"
      }
    }
  }
}

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.