Prevenzione del problema "confused deputy" tra servizi - Amazon EC2 Auto Scaling
Esempio: utilizzo delle chiavi di condizione aws:SourceArn e aws:SourceAccountInformazioni aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione.

Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso.

Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account. Si consiglia di utilizzare il aws:SourceArn e le chiavi di contesto delle condizioni globali di aws:SourceAccount nelle policy di trust per i ruoli del servizio di Dimensionamento automatico Amazon EC2. Queste chiavi limitano le autorizzazioni che Dimensionamento automatico Amazon EC2 fornisce a un altro servizio alla risorsa.

I valori per i SourceAccount campi SourceArn e vengono impostati quando Amazon EC2 Auto Scaling AWS Security Token Service utilizza AWS STS() per assumere un ruolo per tuo conto.

Per utilizzare le chiavi di condizione globali aws:SourceArn o aws:SourceAccount, impostare il valore sul nome della risorsa Amazon (ARN) o sull'account della risorsa archiviata da Dimensionamento automatico Amazon EC2. Quando possibile, utilizzare aws:SourceArn, che è più specifico. Impostare il valore sull'ARN o su un modello dell'ARN con caratteri jolly (*) per le parti sconosciute dell'ARN. Se non si conosce l'ARN della risorsa, utilizzare aws:SourceAccount.

L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in Dimensionamento automatico Amazon EC2 per prevenire il problema “confused deputy”.

Esempio: utilizzo delle chiavi di condizione aws:SourceArn e aws:SourceAccount

Un ruolo che un servizio assume per eseguire operazioni a tuo nome viene chiamato ruolo del servizio. Nei casi in cui desideri creare lifecycle hook che inviino notifiche a un luogo diverso da Amazon EventBridge, devi creare un ruolo di servizio per consentire ad Amazon EC2 Auto Scaling di inviare notifiche a un argomento Amazon SNS o a una coda Amazon SQS per tuo conto. Se desideri consentire l'associazione di un solo gruppo con dimensionamento automatico all'accesso tra servizi, è possibile specificare la policy di trust del ruolo del servizio come segue.

Questo esempio di policy di trust utilizza istruzioni della condizione per limitare la capacità di AssumeRole sul ruolo di servizio di eseguire solo le operazioni che influiscono sul gruppo con dimensionamento automatico specificato nell'account specificato. Le condizioni aws:SourceArn e aws:SourceAccount sono valutate in modo indipendente. Qualsiasi richiesta di utilizzare il ruolo di servizio deve soddisfare entrambe le condizioni.

Prima di utilizzare questa policy, è necessario sostituire l'ID dell'account, la Regione, l'UUID e il nome del gruppo con valori validi riferiti al proprio account.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Sid": "ConfusedDeputyPreventionExamplePolicy",
        "Effect": "Allow",
        "Principal": {
            "Service": "autoscaling.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "ArnLike": {
                "aws:SourceArn": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:uuid:autoScalingGroupName/my-asg"
            },
            "StringEquals": {
                "aws:SourceAccount": "111122223333"
            }
        }
    }
}

Nell'esempio precedente:

  • L'elemento Principal specifica il servizio principale del servizio (autoscaling.amazonaws.com).

  • L'elemento Action specifica l'azione sts:AssumeRole.

  • L'elemento Condition specifica le chiavi di condizione globali aws:SourceArn e aws:SourceAccount. L'ARN dell'origine include l'ID account, quindi non è necessario utilizzare aws:SourceAccount con aws:SourceArn.

Informazioni aggiuntive

Per ulteriori informazioni, consulta AWS global condition context keys, The confused deputy problem e Update a role trust policy nella IAM User Guide.