Pencegahan Deputi Bingung - Amazon Fraud Detector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencegahan Deputi Bingung

Masalah deputi yang membingungkan terjadi ketika entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. AWS menyediakan alat yang membantu Anda melindungi akun Anda jika Anda menyediakan pihak ketiga (disebut lintas akun) atau lainnya AWS layanan (disebut cross-service) akses ke sumber daya di akun Anda.

Masalah wakil kebingungan lintas layanan dapat terjadi ketika satu layanan (layanan panggilan) memanggil layanan lain (layanan yang disebut). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, Anda dapat membuat kebijakan yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsipal layanan yang telah diberikan akses ke sumber daya layanan Anda.

Amazon Fraud Detector mendukung penggunaan peran layanan dalam kebijakan izin Anda untuk mengizinkan layanan mengakses sumber daya layanan lain atas nama Anda. Peran memerlukan dua kebijakan: kebijakan kepercayaan peran yang menentukan prinsipal yang diizinkan untuk mengambil peran dan kebijakan izin yang menentukan apa yang dapat dilakukan dengan peran tersebut. Ketika layanan mengambil peran atas nama Anda, kepala layanan harus diizinkan untuk melakukan sts:AssumeRole tindakan dalam kebijakan kepercayaan peran. Ketika layanan meneleponsts:AssumeRole, AWS STS mengembalikan sekumpulan kredensil keamanan sementara yang digunakan prinsipal layanan untuk mengakses sumber daya yang diizinkan oleh kebijakan izin peran.

Untuk mencegah masalah deputi yang membingungkan lintas layanan, Amazon Fraud Detector merekomendasikan penggunaan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan kepercayaan peran Anda untuk membatasi akses ke peran hanya pada permintaan yang dihasilkan oleh sumber daya yang diharapkan.

aws:SourceAccountMenentukan ID Akun dan aws:SourceArn menentukan sumber daya yang ARN terkait dengan akses lintas layanan. aws:SourceArnHarus ditentukan menggunakan ARNformat. Pastikan aws:SourceArn keduanya aws:SourceAccount dan menggunakan ID Akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci konteks kondisi aws:SourceArn global dengan penuh ARN sumber daya. Jika Anda tidak mengetahui sumber daya ARN yang lengkap atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari. ARN Misalnya, arn:aws:servicename:*:123456789012:*. Untuk informasi tentang sumber daya dan tindakan Amazon Fraud Detector yang dapat Anda gunakan dalam kebijakan izin, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon Fraud Detector.

Contoh kebijakan kepercayaan peran berikut menggunakan wildcard (*) di kunci aws:SourceArn kondisi untuk memungkinkan Amazon Fraud Detector mengakses beberapa sumber daya yang terkait dengan Id Akun.

{
        "Version": "2012-10-17",
        "Statement": [
             {
               "Effect": "Allow",
               "Principal": {
               "Service": [
                   "frauddetector.amazonaws.com"
                   ]                
               },
               "Action": "sts:AssumeRole",
               "Condition": {
               "StringEquals": {
                   "aws:SourceAccount": "123456789012"
               },
                 "StringLike": {
                    "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:*"
        }
      }
    }
  ]
}

Kebijakan kepercayaan peran berikut memungkinkan Amazon Fraud Detector mengakses hanya external-model sumber daya. Perhatikan aws:SourceArn param di blok Kondisi. Kualifikasi sumber daya dibuat menggunakan titik akhir model yang disediakan untuk melakukan panggilan. PutExternalModel API 


    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "frauddetector.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly"
        }
      }
    }
  ]
}