Prevenzione del problema "confused deputy" tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Si consiglia di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS DataSync forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri che qualsiasi risorsa in quell'account sia associata all'uso tra servizi.

Il valore di aws:SourceArn deve includere l'ARN della DataSync posizione con cui DataSync è consentito assumere il ruolo IAM.

Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la aws:SourceArn chiave con l'ARN completo della risorsa. Se non conosci l'ARN completo o se stai specificando più risorse, usa i caratteri jolly (*) per le parti sconosciute. Ecco alcuni esempi di come eseguire questa operazione per: DataSync

Per limitare la politica di attendibilità a una DataSync posizione esistente, includi l'ARN completo della posizione nella policy. DataSync assumerà il ruolo IAM solo quando avrà a che fare con quella particolare posizione.
Quando crei una sede Amazon S3 per DataSync, non conosci l'ARN della posizione. In questi scenari, usa il seguente formato per la aws:SourceArn chiave:. arn:aws:datasync:us-east-2:123456789012:* Questo formato convalida la partizione (aws), l'ID account e la regione.

L'esempio completo seguente mostra come è possibile utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in una politica di fiducia per evitare il confuso problema del vice. DataSync


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Per ulteriori esempi di policy che mostrano come utilizzare aws:SourceArn le chiavi di contesto della condizione aws:SourceAccount globale con DataSync, consultate i seguenti argomenti:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Applicazione di tag alle risorse durante la creazione

Riferimento alle autorizzazioni API