Prevenzione del problema "confused deputy" tra servizi - AWS DataSync

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.

Si consiglia di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS DataSync forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri che qualsiasi risorsa in quell'account sia associata all'uso tra servizi.

Il valore di aws:SourceArn deve includere l'ARN della DataSync posizione con cui DataSync è consentito assumere il ruolo IAM.

Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la aws:SourceArn chiave con l'ARN completo della risorsa. Se non conosci l'ARN completo o se stai specificando più risorse, usa i caratteri jolly (*) per le parti sconosciute. Ecco alcuni esempi di come eseguire questa operazione per: DataSync

  • Per limitare la politica di attendibilità a una DataSync posizione esistente, includi l'ARN completo della posizione nella policy. DataSync assumerà il ruolo IAM solo quando avrà a che fare con quella particolare posizione.

  • Quando crei una sede Amazon S3 per DataSync, non conosci l'ARN della posizione. In questi scenari, usa il seguente formato per la aws:SourceArn chiave:. arn:aws:datasync:us-east-2:123456789012:* Questo formato convalida la partizione (aws), l'ID account e la regione.

L'esempio completo seguente mostra come è possibile utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in una politica di fiducia per evitare il confuso problema del vice. DataSync

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Per ulteriori esempi di policy che mostrano come utilizzare aws:SourceArn le chiavi di contesto della condizione aws:SourceAccount globale con DataSync, consultate i seguenti argomenti: