Prevenzione del confused deputy tra servizi - Amazon Personalize

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del confused deputy tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare le chiavi di contesto aws:SourceArne aws:SourceAccountglobal condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon Personalize fornisce a un altro servizio alla risorsa.

Per evitare il problema confuso del sostituto nei ruoli assunti da Amazon Personalize, nella politica di fiducia del ruolo imposta il valore di aws:SourceArn to. arn:aws:personalize:region:accountNumber:* Il carattere wildcard (*) applica la condizione per tutte le risorse Amazon Personalize.

La seguente politica sulle relazioni di fiducia concede ad Amazon Personalize l'accesso alle tue risorse e utilizza aws:SourceArn le chiavi di contesto aws:SourceAccount e di condizione globale per prevenire il confuso problema del vice. Utilizza questa politica quando crei un ruolo per Amazon Personalize ()Creare un IAM ruolo per Amazon Personalize. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "personalize.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountNumber"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:personalize:region:accountNumber:*"
        }
      }
    }
  ]
}