Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Prevenzione del problema "confused deputy" tra servizi

PDF
RSS
Modalità Focus
Prevenzione del problema "confused deputy" tra servizi - Gestione audit AWS
Supporto confused deputy Gestione audit

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra diversi servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, Amazon Web Services fornisce strumenti per aiutarti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni concesse a un altro servizio per l'accesso alle tue risorse. AWS Audit Manager

  • Utilizza aws:SourceArnse desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Se desideri specificare più risorse, puoi anche usare aws:SourceArn con un carattere jolly (*).

    Ad esempio, potresti utilizzare un argomento Amazon SNS per ricevere notifiche di attività da Gestione audit. In questo caso, nella policy di accesso agli argomenti SNS, il valore ARN aws:SourceArn è la risorsa Gestione audit da cui proviene la notifica. Poiché è probabile che tu disponga di più risorse Gestione audit, ti consigliamo di utilizzare aws:SourceArn con un carattere jolly. In questo modo puoi specificare tutte le risorse di Gestione audit nella policy di accesso agli argomenti SNS.

  • Utilizza aws:SourceAccountse desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.

  • Se il valore aws:SourceArnnon contiene l'ID account, ad esempio un ARN del bucket Amazon S3, devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.

  • Se utilizzi entrambe le condizioni globali e il valore aws:SourceArn contiene l’ID account, il valore aws:SourceAccount e l’account nel valore aws:SourceArn devono utilizzare lo stesso ID account quando viene utilizzato nella stessa dichiarazione di policy.

  • Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArncon l'ARN completo della risorsa. Se non conosci il nome della risorsa Amazon (ARN) completo della risorsa o scegli più risorse, utilizza la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell’ARN. Ad esempio arn:aws:servicename:*:123456789012:*.

Supporto confused deputy Gestione audit

Gestione audit fornisce un supporto confused deputy nei seguenti scenari. Gli esempi di policy seguenti mostrano il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per prevenire il problema confused deputy.

Gestione audit non fornisce un supporto confused deputy per la chiave gestita dal cliente fornita nelle impostazioni Configurazione delle impostazioni di crittografia dei dati di Gestione audit. Se hai fornito la tua chiave gestita dal cliente, non puoi utilizzare le condizioni aws:SourceAccount o aws:SourceArncontenute in tale policy della chiave KMS.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.