Esempio di politica di fiducia che utilizza aws:SourceArn e aws:SourceAccount condiziona le chiavi Informazioni aggiuntive

Prevenzione del problema "confused deputy" tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra diversi servizi può portare alla confusione del problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Si consiglia di utilizzare il aws:SourceArn e aws:SourceAccountchiavi di contesto globali nelle politiche delle risorse per limitare le autorizzazioni che AWS CloudFormation forniscono un altro servizio a una risorsa specifica, ad esempio un' CloudFormation estensione. Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.

Assicurati che il valore di aws:SourceArn sia uno ARN della risorsa che CloudFormation memorizza.

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave di contesto ARN della condizione aws:SourceArn globale con l'intera risorsa. Se non conosci la dimensione completa ARN della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute di. ARN Ad esempio arn:aws:cloudformation:*:123456789012:*.

Se il aws:SourceArn valore non contiene l'ID dell'account, devi utilizzare entrambe le chiavi di contesto della condizione globale per limitare le autorizzazioni.

L'esempio seguente mostra come utilizzare le chiavi di contesto della aws:SourceArn condizione aws:SourceAccount globale CloudFormation per evitare il confuso problema del vice.

Esempio di politica di fiducia che utilizza `aws:SourceArn` e `aws:SourceAccount` condiziona le chiavi

Per i servizi di registro, CloudFormation effettua chiamate a AWS Security Token Service (AWS STS) per assumere un ruolo di servizio nell'account. Questo ruolo è configurato per ExecutionRoleArn in RegisterTypefunzionamento e LogRoleArn impostazione in LoggingConfigoperazione. Per ulteriori informazioni, consulta Configura un ruolo di esecuzione con IAM autorizzazioni e una politica di fiducia per l'accesso alle estensioni pubbliche.

Questo esempio di policy di fiducia per i ruoli utilizza istruzioni condizionali per limitare la AssumeRole capacità del ruolo di servizio alle sole azioni sull' CloudFormation estensione specificata nell'account specificato. Le condizioni aws:SourceArn e aws:SourceAccount sono valutate in modo indipendente. Qualsiasi richiesta di utilizzare il ruolo di servizio deve soddisfare entrambe le condizioni.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resources.cloudformation.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:us-east-1:123456789012:type/resource/Organization-Service-Resource/*"
        }
      }
    }
  ]
}

Informazioni aggiuntive

Ad esempio, le politiche che utilizzano aws:SourceArn le chiavi di contesto della condizione aws:SourceAccount globale per un ruolo di servizio utilizzato da StackSets, vedereConfigurazione di chiavi globali per mitigare i problemi di "confused deputy".

Per ulteriori informazioni, consulta Aggiornare una politica di attendibilità dei ruoli nella Guida IAM per l'utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS CloudFormation ruolo di servizio

Registrazione API delle chiamate