Você deve ser administrador do sistema Amazon Chime para concluir as etapas deste guia. Se você precisar de ajuda com o cliente de desktop, a aplicação web ou aplicativo móvel do Amazon Chime, consulte Getting support no Guia do usuário do Amazon Chime.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prevenção do problema do substituto confuso entre serviços
O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação chama uma entidade mais privilegiada a executar a ação. Isso pode permitir que agentes mal-intencionados executem comandos ou modifiquem recursos que, de outra forma, não teriam permissão para executar ou acessar. Para obter mais informações, consulte O problema de “confused deputy” no Guia do usuário do AWS Identity and Access Management .
Em AWS, a falsificação de identidade entre serviços pode levar a um cenário confuso de delegado. A personificação entre serviços ocorre quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). Um agente mal-intencionado pode usar o serviço de chamada para alterar recursos em outro serviço utilizando permissões que normalmente não teria.
AWS fornece aos diretores de serviços acesso gerenciado aos recursos em sua conta para ajudá-lo a proteger a segurança de seus recursos. Recomendamos usar a chave de contexto de condição global aws:SourceAccount
em suas políticas de recursos. Essas chaves limitam as permissões que o Amazon Chime concede a outro serviço para este atributo.
O exemplo a seguir mostra uma política de bucket do S3 que usa a chave de contexto de condição global aws:SourceAccount
no bucket do S3 CallDetailRecords
configurado para evitar o problema de substituto confuso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "
AmazonChimeAclCheck668426
", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::your-cdr-bucket
" }, { "Sid": "AmazonChimeWrite668426
", "Effect": "Allow", "Principal": { "Service": "chime.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::your-cdr-bucket
/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control
", "aws:SourceAccount": "112233446677
" } } } ] }