本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
防止跨服务混淆代理
重要
终止支持通知:现有客户可以在2025年7月31日终止支持QLDB之前使用亚马逊。有关更多详细信息,请参阅将亚马逊QLDB账本迁移到亚马逊 Aurora Postgr SQL
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。
一个服务(呼叫服务)调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止出现混乱的代理问题,我们 AWS 提供了一些工具,可帮助您保护所有服务的数据,这些服务委托人已被授予访问您账户中资源的权限。
我们建议在资源策略中使用aws:SourceArn和aws:SourceAccount全局条件上下文密钥来限制 Amazon QLDB 向该资源提供的其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,aws:SourceAccount 值和 aws:SourceArn 值中的账户必须使用相同的账户 ID。
下表列出了ExportJournalToS3和StreamsJournalToKinesisQLDBAPI操作的可能值。aws:SourceArn这些操作在此安全问题范围内,因为它们调用 AWS Security Token Service (AWS STS) 来代入您指定的IAM角色。
| API操作 | 调用的服务 | aws:SourceArn |
|---|---|---|
ExportJournalToS3 |
AWS STS (AssumeRole) |
允许QLDB为账户中的任何QLDB资源代入角色:
目前,QLDB仅支持日记账导出使用此通ARN配符。 |
StreamsJournalToKinesis |
AWS STS (AssumeRole) |
QLDB允许扮演特定QLDB直播的角色:
注意:您只能在创建直播资源ARN之后在中指定直播 ID。使用ARN它,您可以允许该角色仅用于单个QLDB流。 QLDB允许扮演账本任何QLDB流的角色:
允许QLDB为账户中的任何QLDB直播担任该角色:
允许QLDB为账户中的任何QLDB资源代入角色:
|
防止混乱的副手问题的最有效方法是使用具有全部资源的全aws:SourceArnARN局条件上下文密钥。如果您不知道资源的全部ARN内容,或者要指定多个资源,请使用带有通配符 (*) 的aws:SourceArn全局上下文条件键来表示未知部分,ARN例如,。arn:aws:qldb:us-east-1:123456789012:*
以下IAM角色的信任策略示例显示了如何使用aws:SourceArn和aws:SourceAccount全局条件上下文密钥来防止出现混淆的代理问题。使用此信任策略,QLDBmyExampleLedger只能为账本账户123456789012中的任何QLDB流扮演角色。
要使用此政策,请替换 us-east-1,
123456789012,以及 myExampleLedger 在示例中包含您自己的信息。
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
