Prevenzione del problema "confused deputy" tra servizi - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel frattempo AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Si consiglia di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS Directory Service per Microsoft Active Directory fornisce a un altro servizio alla risorsa. Se il aws:SourceArn valore non contiene l'ID dell'account, ad esempio un bucket Amazon S3ARN, devi utilizzare entrambe le chiavi di contesto della condizione globale per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.

Per l'esempio seguente, il valore di aws:SourceArn deve essere un CloudWatch gruppo di log.

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave di contesto ARN della condizione aws:SourceArn globale con l'intera risorsa. Se non conosci la dimensione completa ARN della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute di. ARN Ad esempio arn:aws:servicename:*:123456789012:*.

L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in AWS Managed Microsoft AD per evitare il problema confuso del vice.

{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/YOUR_LOG_GROUP:*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ds:YOUR_REGION:YOUR_ACCOUNT_NUMBER:directory/YOUR_DIRECTORY_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }

Per l'esempio seguente, il valore di aws:SourceArn deve essere un SNS argomento del tuo account. Ad esempio, puoi usare qualcosa come arn:aws:sns:ap-southeast-1:123456789012:DirectoryMonitoring_d-966739499f «ap-southeast-1» è la tua regione, «123456789012" è il tuo ID cliente e" _d-966739499f» è il nome dell'argomento Amazon che hai creato. DirectoryMonitoring SNS

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave di contesto della condizione globale con l'intera risorsa. aws:SourceArn ARN Se non conosci la dimensione completa ARN della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute di. ARN Ad esempio arn:aws:servicename:*:123456789012:*.

L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in AWS Managed Microsoft AD per evitare il problema confuso del vice.

{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": ["SNS:GetTopicAttributes",      "SNS:SetTopicAttributes", "SNS:AddPermission",      "SNS:RemovePermission",      "SNS:DeleteTopic",      "SNS:Subscribe",      "SNS:ListSubscriptionsByTopic",      "SNS:Publish"], "Resource": [ "arn:aws:sns:YOUR_REGION:YOUR_ACCOUNT_NUMBER:YOUR_SNS_TOPIC_NAME" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ds:YOUR_REGION:YOUR_ACCOUNT_NUMBER:directory/YOUR_EXTERNAL_DIRECTORY_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }

L'esempio seguente mostra una politica di IAM attendibilità per un ruolo a cui è stato delegato l'accesso alla console. Il valore di aws:SourceArn deve essere una risorsa di directory nel tuo account. Per ulteriori informazioni, vedere Tipi di risorse definiti da AWS Directory Service. Ad esempio, puoi utilizzare arn:aws:ds:us-east-1:123456789012:directory/d-1234567890 dove 123456789012 è il tuo ID cliente e d-1234567890 è l'ID directory.

{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ds:YOUR_REGION:YOUR_ACCOUNT_NUMBER:directory/YOUR_DIRECTORY_ID" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }