O alias de perfil é excessivamente permissivo - AWS IoT Device Defender

O alias de perfil é excessivamente permissivo

O alias de perfil da AWS IoT fornece um mecanismo para dispositivos conectados serem autenticados na AWS IoT usando certificados X.509 e obterem credenciais de curta duração da AWS de um perfil do IAM associado a um alias de perfil da AWS IoT. As permissões para essas credenciais devem ser definidas com escopo usando políticas de acesso com variáveis de contexto de autenticação. Se as políticas não estiverem configuradas corretamente, você ficará exposto a um escalonamento de ataque de privilégio. Essa verificação de auditoria garante que as credenciais temporárias fornecidas pelos aliases de função da AWS IoT não sejam excessivamente permissivas.

Essa verificação será acionada se uma das seguintes condições for encontrada:

  • A política fornece permissões administrativas para todos os serviços usados no ano passado por esse alias de função (por exemplo, “iot:*”, “dynamodb:*”, “iam:*” e assim por diante).

  • A política fornece amplo acesso a ações de metadados de objeto, acesso a ações restritas da AWS IoT ou amplo acesso a ações de plano de dados da AWS IoT.

  • A política fornece acesso a serviços de auditoria de segurança como “iam”, “cloudtrail”, “guardduty”, “inspector” ou “trustedadvisor”.

Essa verificação aparece como IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK na CLI e na API.

Gravidade: Crítica

Detalhes

Os códigos de motivo a seguir são retornados quando essa verificação encontra uma política da IoT incompatível:

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

Por que isso importa?

Ao limitar as permissões àquelas que são necessárias para que um dispositivo execute suas operações normais, você reduz os riscos para sua conta se um dispositivo estiver comprometido.

Como corrigir

Siga estas etapas para corrigir todas as políticas que não estão em conformidade anexadas o objetos, grupos de objetos ou outras entidades:

  1. Siga as etapas em Autorização de chamadas diretas para serviços da AWS usando o provedor de credenciais do AWS IoT Core para aplicar uma política mais restritiva ao alias de seu perfil.

Você pode usar ações de mitigação para:

  • Aplique a ação de mitigação PUBLISH_FINDINGS_TO_SNS para implementar uma ação personalizada em resposta à mensagem do Amazon SNS.

Para ter mais informações, consulte Ações de mitigação.