Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Cross-service prevenzione sostitutiva confusa
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vicesceriffo. Cross-servicel'impersonificazione può verificarsi quando un servizio (il servizio chiamante) chiama un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse dell'account.
Ti consigliamo di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS Backup forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il valore di aws:SourceArn deve essere un AWS Backup vault quando si utilizza AWS Backup per pubblicare argomenti di Amazon SNS per tuo conto.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell’ARN. Ad esempio, arn:aws::. servicename::123456789012:*
L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition AWS Backup per prevenire il confuso problema del vice. Aggiungi la seguente dichiarazione alla politica delle chiavi KMS per impedire al responsabile del servizio di eseguire azioni KMS a meno che la richiesta non provenga backup-storage.amazonaws.com dagli archivi di backup e dall'account specificati:
{ "Sid": "Deny Backup Storage confused deputy", "Effect": "Deny", "Principal": { "Service": "backup-storage.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:RetireGrant", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:SourceAccount": "123456789012" }, "ArnNotLike": { "aws:SourceArn": "arn:aws::backup:us-east-1:123456789012:backup-vault:*" } } }
Sostituiscilo us-east-1 con il tuo Regione AWS e con l'ID del tuo account. 123456789012 AWS Questa politica impedisce al responsabile del servizio AWS Backup di archiviazione di utilizzare la chiave KMS a meno che la richiesta non provenga da un archivio di backup nell'account e nella regione specificati.