Prevenzione del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. In AWS, l'impersonificazione tra diversi servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare le chiavi contestuali aws:SourceArnaws:SourceAccountaws:SourceOrgID,, e aws:SourceOrgPathsglobal condition nelle politiche delle risorse per limitare le autorizzazioni che forniscono un altro servizio alla risorsa. aws:SourceArnDa utilizzare per associare una sola risorsa all'accesso a più servizi. Utilizzato aws:SourceAccount per consentire che qualsiasi risorsa in quell'account venga associata all'utilizzo tra servizi. Utilizzato aws:SourceOrgID per consentire l'associazione di qualsiasi risorsa di qualsiasi account all'interno di un'organizzazione all'utilizzo tra servizi. aws:SourceOrgPathsDa utilizzare per associare qualsiasi risorsa proveniente dagli account all'interno di un AWS Organizations percorso con l'uso trasversale dei servizi. Per ulteriori informazioni sull'utilizzo e la comprensione dei percorsi, consulta Comprendere il AWS Organizations percorso dell'entità.

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave del contesto ARN della condizione aws:SourceArn globale con l'intera risorsa. Se non conosci la dimensione completa ARN della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con caratteri jolly (*) per le parti sconosciute di. ARN Ad esempio arn:aws:servicename:*:123456789012:*.

Se il aws:SourceArn valore non contiene l'ID dell'account, ad esempio un bucket Amazon S3ARN, devi utilizzarli entrambi aws:SourceAccount e aws:SourceArn limitare le autorizzazioni.

Per proteggersi dal problema "confused deputy" su larga scala, nelle policy basate sulle risorse utilizza la chiave di contesto della condizione globale aws:SourceOrgID o aws:SourceOrgPaths con l'ID dell'organizzazione o il percorso dell'organizzazione della risorsa. Quando aggiungi, rimuovi o sposti degli account all’interno dell’organizzazione, le policy che includono la chiave aws:SourceOrgID o aws:SourceOrgPaths includono automaticamente anche gli account corretti e non necessitano dell'aggiornamento manuale.

Le politiche documentate per concedere l'accesso ai CloudWatch log per scrivere dati su Kinesis Data Streams e Passaggio 1: creazione di una destinazione Firehose mostrano come utilizzare la chiave SourceArn aws: global condition context per aiutare Fase 2: creazione di una destinazione a prevenire il confuso problema del vice.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modifica dell'appartenenza alla destinazione durante il runtime

Registra la prevenzione della ricorsione