`AWSSupport-TroubleshootSAMLIssues`

Descripción

El manual de AWSSupport-TroubleshootSAMLIssues automatización ayuda a diagnosticar problemas relacionados con el lenguaje de marcado de aserciones de seguridad (SAML) mediante el análisis de los archivos de respuesta de SAML almacenados en Amazon Simple Storage Service (Amazon S3). Realiza una validación exhaustiva que incluye la verificación del esquema, la validación de firmas, la verificación de las restricciones de audiencia y la verificación del tiempo de caducidad. El manual decodifica y extrae los elementos clave del SAML, como el emisor, las afirmaciones, el asunto, las condiciones, las firmas y los atributos, de la respuesta del SAML. En los entornos en los que se utiliza SAML para acceder a AWS los recursos (como Amazon Connect o Amazon WorkSpaces Applications) a través de un proveedor de identidad de IAM, verifica si los certificados de las firmas de respuesta de SAML coinciden con los certificados configurados en el proveedor de identidades de IAM.

¿Cómo funciona?

El manual de instrucciones lleva a cabo los siguientes pasos:

Valida el formato de respuesta de SAML y los elementos necesarios.
Decodifica y extrae los componentes de la respuesta de SAML (emisor, afirmaciones, asunto, condiciones, firmas y atributos).
Verifica las firmas digitales con los certificados del proveedor de identidad de IAM cuando se proporcionan.
Comprueba las restricciones de audiencia y la validez temporal.
Proporciona información de diagnóstico detallada que muestra la estructura SAML analizada y los resultados de la validación.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

s3:GetBucketLocation
s3:ListBucket
s3:GetBucketPublicAccessBlock
s3:GetAccountPublicAccessBlock
s3:GetObject
s3:GetBucketPolicyStatus
s3:GetEncryptionConfiguration
s3:GetBucketOwnershipControls
s3:GetBucketAcl
s3:GetBucketPolicy
s3:PutObject
iam:GetSAMLProvider
sts:AssumeRole

Ejemplo de política:

Instrucciones

Siga estos pasos para configurar la automatización:

Antes de usar este manual, debe capturar y almacenar una respuesta SAML codificada en Base64 (archivo txt) en un bucket de S3. Las instrucciones para capturar las respuestas de SAML se encuentran en este documento
Navegue hasta AWSSupport-TroubleshootSAMLIssuesSystems Manager, en Documentos.
Elija Execute automation (Ejecutar automatización).
Para los parámetros de entrada, introduzca lo siguiente:
- AutomationAssumeRole (Opcional):
  - Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a SSM Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
  - Tipo: AWS::IAM::Role::Arn
- InputFileS3URI (obligatorio):
  - Descripción: URI (obligatorio) de Amazon Simple Storage Service (Amazon S3) del archivo txt de respuesta SAML (p. ej., s3://bucket name/path/to/file - .txt).
  - Tipo: cadena
  - Patrón de permisos: ^s3://[a-z0-9][a-z0-9.-][a-z0-9](/.)?$
- S3 OutputPrefix (opcional):
  - <executionID of the runbook>Descripción: (opcional) Los archivos de salida del análisis se almacenan en el depósito de entrada con el nombre «saml_analysis_ .json». Puede usar este parámetro si desea generar un archivo con un prefijo específico. <executionID of the runbook>El valor predeterminado es «output/», en cuyo caso el URI del archivo que generará el resultado será 's3://bucket - name/output/saml _analysis_ .json'.
  - Tipo: cadena
  - Permitir patrón: ^[a-zA-Z0-9+=,.@\\-_/]*/$
- ExpectedAudience (Opcional):
  - Descripción: (opcional) Valor de audiencia esperado en la respuesta de SAML. Si no se especifica, utilizamosurn:amazon:webservices. Si ha configurado un valor de audiencia específico en su configuración de IdP y SP, proporcione el formato exacto (por ejemplo,urn:amazon:webservices,https://signin.aws.amazon.com/saml).
  - Tipo: cadena
  - Predeterminado: urn:amazon:webservices
- IamIdProviderArn (Opcional):
  - Descripción: (Opcional) Si utiliza una entidad proveedora de ID de IAM para vincular directamente su IdP AWS con IAM, indique su ARN (por ejemplo,). arn:aws:iam::<account-id>:saml-provider/<provider-name>
  - Tipo: cadena
  - Patrón de permisos: ^$|^arn:aws:iam::[0-9]{12}:saml-provider/[a-zA-Z0-9_-]+$
- SAMLAuthenticationHora (opcional):
  - Descripción: (opcional) Fecha y hora en que se realizó la autenticación SAML. La zona horaria debe ser UTC. Debe estar en YYYY-MM-DDThh formato:mm:ss (p. ej., 2025-02-01T 10:00:00). Si no se proporciona este parámetro, las comprobaciones de caducidad se realizarán comparándolas con la marca de tiempo actual.
  - Tipo: cadena
  - Patrón de permisos: ^$|^\\d{4}-(?:0[1-9]|1[0-2])-(?:0[1-9]|[12]\\d|3[01])T(?:[01]\\d|2[0-3]):[0-5]\\d:[0-5]\\d$
- S3 BucketOwnerRoleArn (opcional):
  - Descripción: ARN de rol de IAM (opcional) para acceder a los buckets de Amazon S3. El ARN de la función de IAM con permisos para obtener la configuración de acceso público del bucket y el bloqueo de cuentas de Amazon S3, la configuración de cifrado del bucket, el bucket ACLs, el estado de la política del bucket y cargar objetos al bucket. Si no se especifica este parámetro, el runbook utiliza el `AutomationAssumeRole` (si se especifica) o el usuario que inicia este runbook (si `AutomationAssumeRole` no se especifica).
  - Tipo: AWS::IAM::Role::Arn
Seleccione Ejecutar.
Se inicia la automatización.
Este documento realiza los siguientes pasos:
- Validar IAMIDProvider
  
  Valida el ARN del proveedor de ID de IAM proporcionado comprobando si existe y es accesible. Si no se proporciona ningún ARN, se omite la validación y el paso se completa correctamente.
- Compruebe S3 BucketPublicStatus
  
  Comprueba si el bucket de Amazon S3 permite permisos de acceso de lectura o escritura públicos o anónimos. Si el bucket permite estos permisos, la automatización se detiene en este paso.
- Comprueba: 3. ObjectExistence
  
  Valida el acceso a los buckets de Amazon S3. Comprueba si el depósito y el objeto existen y si la automatización tiene los permisos necesarios para leer desde el origen y escribir en el destino.
- Analiza SAMLResponse
  
  Analiza el archivo de respuesta SAML realizando las comprobaciones (validación del esquema, verificación de firmas, validación de audiencia, comprobación de caducidad). Genera un informe JSON detallado y lo guarda en la ubicación de Amazon S3 especificada.
Una vez finalizada, revise la sección de resultados para ver los resultados detallados de la ejecución:
- La sección de resultados contiene información sobre el objeto Amazon S3 donde se describen los resultados del análisis.
El objeto Amazon S3 de los resultados del análisis es un archivo Json que contiene la siguiente información:
- validation_result: contiene los resultados de validación básicos de la respuesta de SAML.
  - saml_info: información clave sobre SAML, que incluye el emisor, las firmas y las afirmaciones.
  - schema_validation: resultados de la validación del esquema SAML.
- verification_result: proporciona resultados de diagnóstico más detallados.
  - firma: resultados de la verificación de la firma.
  - audiencia: resultados de la validación de la restricción de audiencia.
  - caducidad: resultados de la verificación de la hora de caducidad.

Referencias

Automatización de Systems Manager

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWSSupport-ContainIAMPrincipal

Detección y respuesta a incidentes