Pencegahan "confused deputy" lintas layanan - AWS Systems Manager
Contoh kebijakan aktivasi hibridaContoh kebijakan sinkronisasi data sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencegahan "confused deputy" lintas layanan

Masalah "confused deputy" adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang memilik hak akses lebih tinggi untuk melakukan tindakan tersebut. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan sumber daya untuk membatasi izin yang AWS Systems Manager memberikan layanan lain ke sumber daya. Jika aws:SourceArn nilai tidak berisi ID akun, seperti Nama Sumber Daya Amazon (ARN) untuk bucket S3, Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai aws:SourceArn berisi ID akun, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.

Bagian berikut memberikan contoh kebijakan untuk AWS Systems Manager alat.

Contoh kebijakan aktivasi hibrida

Untuk peran layanan yang digunakan dalam aktivasi hibrida, nilai aws:SourceArn harus ARN dari. Akun AWS Pastikan untuk menentukan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian ARN yang tidak diketahui. Misalnya, arn:aws:ssm:*:region:123456789012:*.

Contoh berikut menunjukkan penggunaan aws:SourceArn dan kunci konteks kondisi aws:SourceAccount global untuk Otomasi untuk mencegah masalah wakil yang membingungkan di Wilayah Timur AS (Ohio) (us-east-2).

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*"
            }
         }
      }
   ]
}

Contoh kebijakan sinkronisasi data sumber daya

Inventaris Systems Manager, Explorer, dan Kepatuhan memungkinkan Anda membuat sinkronisasi data sumber daya untuk memusatkan penyimpanan data operasi (OpsData) di bucket Amazon Simple Storage Service pusat. Jika Anda ingin mengenkripsi sinkronisasi data sumber daya dengan menggunakan AWS Key Management Service (AWS KMS), Anda harus membuat kunci baru yang menyertakan kebijakan berikut, atau Anda harus memperbarui kunci yang ada dan menambahkan kebijakan ini ke dalamnya. Kunci aws:SourceArn dan aws:SourceAccount kondisi dalam kebijakan ini mencegah masalah wakil yang membingungkan. Berikut adalah contoh kebijakan.

{
    "Version": "2012-10-17",
    "Id": "ssm-access-policy",
    "Statement": [
        {
            "Sid": "ssm-access-policy-statement",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Resource": "arn:aws:kms:us-east-2:123456789012:key/KMS_key_id",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
                }
            }
        }
    ]
}
catatan

ARN dalam contoh kebijakan memungkinkan sistem untuk mengenkripsi OpsData dari semua sumber kecuali. AWS Security Hub Jika Anda perlu mengenkripsi data Security Hub, misalnya jika Anda menggunakan Explorer untuk mengumpulkan data Security Hub, maka Anda harus melampirkan kebijakan tambahan yang menentukan ARN berikut:

"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"