Prevenzione del problema "confused deputy" tra servizi - Servizio gestito per Apache Flink

Il servizio gestito da Amazon per Apache Flink era precedentemente noto come Analisi dei dati Amazon Kinesis per Apache Flink.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

In AWS, la rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) chiama un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per agire sulle risorse di un altro cliente, anche se non dovrebbe avere le autorizzazioni corrette, e ciò porta al problema del "confused deputy".

Per evitare situazioni confuse, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi utilizzando i gestori dei servizi a cui è stato concesso l'accesso alle risorse del proprio account. Questa sezione si concentra sulla prevenzione della confusione tra diversi servizi, specifica per Managed Service for Apache Flink. Tuttavia, puoi saperne di più su questo argomento nella sezione Il problema del deputato confuso della Guida per l'utente. IAM

Nel contesto di Managed Service for Apache Flink, consigliamo di utilizzare le chiavi aws: SourceArn e aws: SourceAccount global condition context nella policy di trust dei ruoli per limitare l'accesso al ruolo solo alle richieste generate dalle risorse previste.

Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.

Il valore di aws:SourceArn deve essere la ARN risorsa utilizzata da Managed Service for Apache Flink, specificata con il seguente formato:. arn:aws:kinesisanalytics:region:account:resource

L'approccio consigliato al confuso problema del vice consiste nell'utilizzare la chiave di contesto della condizione aws:SourceArn globale con la risorsa completa. ARN

Se non conosci l'intera ARN risorsa o se stai specificando più risorse, usa la aws:SourceArn chiave con caratteri jolly (*) per le parti sconosciute di. ARN Ad esempio: arn:aws:kinesisanalytics::111122223333:*.

Le policy dei ruoli fornite al servizio gestito per Apache Flink e le policy di attendibilità dei ruoli generati per te possono utilizzare queste chiavi.

Per proteggerti dal problema del "confused deputy", completa le seguenti operazioni:

Per proteggersi dal problema del "confused deputy"

  1. Accedi alla console di AWS gestione e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Scegli Ruoli, quindi scegli il ruolo che desideri modificare.

  3. Seleziona Modifica policy di attendibilità.

  4. Nella pagina Modifica politica di attendibilità, sostituisci la JSON politica predefinita con una politica che utilizza una o entrambe aws:SourceArn le chiavi del contesto della condizione aws:SourceAccount globale. Vedi la policy di esempio riportata di seguito:

  5. Scegli Aggiorna policy.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kinesisanalytics.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
            }
         }
      }
   ]
}