Prevenzione del problema "confused deputy" tra servizi - AWS Elemental MediaTailor

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può causare il problema del sostituto confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare le chiavi aws: SourceArn e aws: SourceAccount global condition context nelle politiche delle risorse per limitare le autorizzazioni che AWS Elemental MediaTailor forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il valore di aws:SourceArn deve essere la configurazione di riproduzione che pubblica CloudWatch i log nella regione e nell'account. Tuttavia, ciò si applica solo se utilizzi il MediaTailorLoggerruolo che consente di MediaTailor pubblicare CloudWatch i log di Amazon sul tuo account. Questo non si applica se utilizzi un ruolo collegato al servizio per consentire la MediaTailor pubblicazione dei log. CloudWatch

Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la chiave di contesto ARN della condizione aws:SourceArn globale con l'intera risorsa. Se non conosci la dimensione completa ARN della risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute di. ARN Ad esempio arn:aws:servicename::123456789012:*.

L'esempio seguente mostra come utilizzare le chiavi di contesto della aws:SourceArn condizione aws:SourceAccount globale per evitare il confuso problema del vice.

{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "mediatailor.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:mediatailor:region:account_ID:playbackConfiguration/*" }, "StringEquals": { "aws:SourceAccount": "account_ID" } } } }