Prevenzione sostitutiva confusa tra diversi servizi per AWS IoT Events - AWS IoT Events

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione sostitutiva confusa tra diversi servizi per AWS IoT Events

Nota

  • Il AWS IoT Events servizio consente di utilizzare i ruoli solo per avviare azioni nello stesso account in cui è stata creata una risorsa. Questo aiuta a prevenire un attacco confuso da parte di un vicesceriffo AWS IoT Events.

  • Questa pagina serve come riferimento per vedere come funziona il problema del confuso dei vicesceriffi e può essere evitata nel caso in cui nel AWS IoT Events servizio fossero consentite risorse multiaccount.

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può causare il problema del sostituto confuso.

La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS IoT Events forniscono un altro servizio alla risorsa. Se il valore aws:SourceArn non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l’account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy.

Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi. Il valore di aws:SourceArn deve essere il modello di rilevatore o il modello di allarme associato alla sts:AssumeRole richiesta.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio arn:aws:iotevents:*:123456789012:*.

Gli esempi seguenti mostrano come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition AWS IoT Events per prevenire il confuso problema del vice.

Argomenti