Alias peran terlalu permisif - AWSIoT Device Defender

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alias peran terlalu permisif

AWS IoT alias peran menyediakan mekanisme untuk perangkat yang terhubung untuk mengautentikasi AWS IoT menggunakan sertifikat X.509 dan kemudian mendapatkan AWS kredensi berumur pendek dari peran yang terkait dengan alias IAM peran. AWS IoT Izin untuk kredensyal ini harus dicakup menggunakan kebijakan akses dengan variabel konteks otentikasi. Jika kebijakan Anda tidak dikonfigurasi dengan benar, Anda dapat membiarkan diri Anda terkena eskalasi serangan hak istimewa. Pemeriksaan audit ini memastikan bahwa kredensyal sementara yang disediakan oleh alias AWS IoT peran tidak terlalu permisif.

Pemeriksaan ini dipicu jika salah satu kondisi berikut ditemukan:

  • Kebijakan ini memberikan izin administratif untuk layanan apa pun yang digunakan dalam satu tahun terakhir oleh alias peran ini (misalnya, “iot: *”, “dynamodb: *”, “iam: *”, dan seterusnya).

  • Kebijakan ini menyediakan akses luas ke tindakan metadata, akses ke AWS IoT tindakan terbatas, atau akses luas ke tindakan bidang AWS IoT data.

  • Kebijakan ini menyediakan akses ke layanan audit keamanan seperti “iam”, “cloudtrail”, “guardduty”, “inspector”, atau “trustedadvisor”.

Pemeriksaan ini muncul seperti IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK pada CLI danAPI.

Tingkat keparahan: Kritis

Detail

Alasan berikut kode dikembalikan ketika pemeriksaan ini menemukan kebijakan IoT yang tidak sesuai:

  • ALLOWS_ BROAD _ _ ACCESS _ _ USED SERVICES

  • ALLOWS_ ACCESS _KE_ _ _ SECURITY AUDITING SERVICES

  • ALLOWS_ BROAD _ ACCESS _ _ _ IOT _ THING _ ADMIN READ ACTIONS

  • ALLOWS_ ACCESS _ _ _ _ IOT _ NON _ THING ADMIN ACTIONS

  • ALLOWS_ ACCESS _ _ _ _ IOT _ THING _ ADMIN WRITE ACTIONS

  • ALLOWS_ BROAD _ _ ACCESS _ _ _ IOT _ DATA PLANE ACTIONS

Mengapa itu penting

Dengan membatasi izin untuk yang diperlukan perangkat untuk melakukan operasi normalnya, Anda mengurangi risiko ke akun Anda jika perangkat dikompromikan.

Bagaimana cara memperbaikinya

Ikuti langkah-langkah ini untuk memperbaiki kebijakan yang tidak patuh yang melekat pada hal-hal, grup benda, atau entitas lain:

  1. Ikuti langkah-langkah dalam Mengotorisasi panggilan langsung ke AWS layanan menggunakan penyedia AWS IoT Core kredensi untuk menerapkan kebijakan yang lebih ketat ke alias peran Anda.

Anda dapat menggunakan tindakan mitigasi untuk:

  • Terapkan tindakan PUBLISH_FINDINGS_TO_SNS mitigasi jika Anda ingin menerapkan tindakan kustom sebagai respons terhadap pesan AmazonSNS.

Untuk informasi selengkapnya, lihat Tindakan mitigasi.