Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Prevenzione intersettoriale confusa in Incident Manager - Incident Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione intersettoriale confusa in Incident Manager

PDFRSS

Il problema dell'assistente confuso è un problema di sicurezza delle informazioni che si verifica quando un'entità senza l'autorizzazione a eseguire un'azione chiama un'entità con più privilegi a eseguire l'azione. Ciò può consentire ai malintenzionati di eseguire comandi o modificare risorse che altrimenti non avrebbero l'autorizzazione a eseguire o a cui non avrebbero accesso.

In effetti AWS, l'impersonificazione tra diversi servizi può portare a uno scenario sostitutivo confuso. L'impersonificazione tra servizi si verifica quando un servizio (il servizio chiamante) chiama un altro servizio (il servizio chiamato). Un malintenzionato può utilizzare il servizio di chiamata per modificare le risorse di un altro servizio utilizzando autorizzazioni che normalmente non avrebbe.

AWS fornisce ai responsabili del servizio l'accesso gestito alle risorse del vostro account per aiutarvi a proteggere la sicurezza delle vostre risorse. Ti consigliamo di utilizzare le aws:SourceArnchiavi di contesto della condizione aws:SourceAccountglobale nelle politiche relative alle risorse. Queste chiavi limitano le autorizzazioni che Strumento di gestione degli incidenti AWS Systems Manager forniscono un altro servizio a quella risorsa. Se si utilizzano entrambe le chiavi di contesto della condizione globale, il aws:SourceAccount valore e l'account a cui si fa riferimento nel aws:SourceArn valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.

Il valore di aws:SourceArn deve essere l'ARN del record dell'incidente interessato. Se non conosci l'ARN completo della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con il * jolly per le parti sconosciute dell'ARN. Ad esempio, puoi impostare su. aws:SourceArn arn:aws:ssm-incidents::111122223333:*

Nel seguente esempio di politica di fiducia, utilizziamo la chiave di aws:SourceArn condizione per limitare l'accesso al ruolo di servizio in base all'ARN del record dell'incidente. Solo i record degli incidenti creati dal piano myresponseplan di risposta possono utilizzare questo ruolo.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "ssm-incidents.amazonaws.com" },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*"
      }
    }
  }
}

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.