Pencegahan "confused deputy" lintas layanan - Amazon Chime

Anda harus menjadi administrator sistem Amazon Chime untuk menyelesaikan langkah-langkah dalam panduan ini. Jika Anda memerlukan bantuan dengan klien desktop Amazon Chime, aplikasi web, atau aplikasi seluler, lihat Mendapatkan dukungan di Panduan Pengguna Amazon Chime.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencegahan "confused deputy" lintas layanan

Masalah Deputi yang membingungkan adalah masalah keamanan informasi yang terjadi ketika entitas tanpa izin untuk melakukan tindakan memanggil entitas yang lebih istimewa untuk melakukan tindakan. Ini dapat memungkinkan aktor jahat untuk menjalankan perintah atau memodifikasi sumber daya yang jika tidak, mereka tidak akan memiliki izin untuk menjalankan atau mengakses. Untuk informasi selengkapnya, lihat Masalah deputi yang membingungkan di Panduan AWS Identity and Access Management Pengguna.

Pada tahun AWS, peniruan lintas layanan dapat menyebabkan skenario wakil yang membingungkan. Peniruan identitas lintas layanan terjadi ketika satu layanan (layanan panggilan) memanggil layanan lain (layanan yang disebut). Aktor jahat dapat menggunakan layanan panggilan untuk mengubah sumber daya di layanan lain dengan menggunakan izin yang biasanya tidak mereka miliki.

AWS menyediakan prinsip layanan dengan akses terkelola ke sumber daya di akun Anda untuk membantu Anda melindungi keamanan sumber daya Anda. Sebaiknya gunakan kunci konteks kondisi aws:SourceAccount global dalam kebijakan sumber daya Anda. Kunci ini membatasi izin yang diberikan Amazon Chime layanan lain ke sumber daya tersebut.

Contoh berikut menunjukkan kebijakan bucket S3 yang menggunakan kunci konteks kondisi aws:SourceAccount global dalam bucket CallDetailRecords S3 yang dikonfigurasi untuk membantu mencegah masalah deputi yang membingungkan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}