역할 별칭이 지나치게 허용됨 - AWS IoT Device Defender

역할 별칭이 지나치게 허용됨

AWS IoT 역할 별칭은 연결된 디바이스가 X.509 인증서를 사용하여 AWS IoT에 인증한 다음 AWS IoT 역할 별칭과 연결된 IAM 역할에서 수명이 짧은 AWS 자격 증명을 얻는 메커니즘을 제공합니다. 이러한 자격 증명에 대한 권한의 경우 인증 컨텍스트 변수가 있는 액세스 정책을 사용하여 범위를 축소해야 합니다. 정책이 올바르게 구성되지 않은 경우 권한 공격의 에스컬레이션에 노출될 수 있습니다. 이 감사 검사에서는 AWS IoT 역할 별칭에서 제공하는 임시 자격 증명이 과도하게 허용적이지 않도록 합니다.

다음 조건 중 하나가 검색되면 이 점검이 트리거됩니다.

  • 이 정책은 이 역할 별칭(예: "iot:*", "dynamodb:*", "iam:*" 등)에서 작년에 사용한 모든 서비스에 대한 관리 권한을 제공합니다.

  • 이 정책은 사물 메타데이터 작업에 대한 광범위한 액세스, 제한된 AWS IoT 작업에 대한 액세스 또는 AWS IoT 데이터 영역 작업에 대한 광범위한 액세스를 제공합니다.

  • 이 정책은 "iam", "cloudtrail", "guardduty", "inspector" 또는 "trustedadvisor"와 같은 보안 감사 서비스에 대한 액세스를 제공합니다.

이 점검은 CLI 및 API에서 IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK와(과) 같이 나타납니다.

심각도: 심각

Details

이 점검에서 규정 미준수 IoT 정책이 발견되면 다음 사유 코드가 반환됩니다.

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

이것이 중요한 이유

권한을 디바이스가 정상적인 작업을 수행하는 데 필요한 권한으로 제한하면 디바이스가 손상된 경우 계정에 대한 위험을 줄일 수 있습니다.

수정 방법

다음 단계에 따라 사물, 사물 그룹 또는 기타 개체에 연결된 규정 미준수 정책을 수정하세요.

  1. AWS IoT Core 보안 인증 정보 공급자를 사용하여 AWS 서비스에 대한 직접 호출 승인의 단계에 따라 역할 별칭에 보다 제한적인 정책을 적용하세요.

완화 조치를 사용하면 다음을 수행할 수 있습니다.

  • Amazon SNS 메시지에 대한 응답으로 사용자 지정 작업을 구현하려면 PUBLISH_FINDINGS_TO_SNS 완화 작업을 적용합니다.

자세한 내용은 완화 작업 단원을 참조하세요.