Prévention interservices confuse des adjoints pour AWS IoT Events

Note

Le AWS IoT Events service vous permet uniquement d'utiliser des rôles pour démarrer des actions dans le même compte dans lequel une ressource a été créée. Cela permet d'éviter une attaque adjointe confuse AWS IoT Events.
Cette page vous sert de référence pour voir comment fonctionne le problème de confusion des adjoints et peut être évité si les ressources entre comptes étaient autorisées dans le AWS IoT Events service.

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints.

L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés de contexte de condition aws:SourceAccountglobale aws:SourceArnet les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS IoT Events accordent un autre service à la ressource. Si la aws:SourceArn valeur ne contient pas l'ID de compte, tel qu'un compartiment Amazon S3ARN, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur aws:SourceArn contient l'ID de compte, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique.

Utilisez aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisez aws:SourceAccount si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices. La valeur de aws:SourceArn doit être le modèle de détecteur ou le modèle d'alarme associé à la sts:AssumeRole demande.

Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de la condition aws:SourceArn globale avec l'intégralité ARN de la ressource. Si vous ne connaissez pas l'intégralité ARN de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de condition contextuelle aws:SourceArn globale avec des caractères génériques (*) pour les parties inconnues duARN. Par exemple, arn:aws:iotevents:*:123456789012:*.

Les exemples suivants montrent comment utiliser les touches de contexte de condition aws:SourceAccount globale aws:SourceArn et globale AWS IoT Events pour éviter le problème de confusion des adjoints.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Affichage des entrées en fonction des balises

Exemple : accès sécurisé à un modèle de détecteur