Vice prevenzione confusa in Scheduler EventBridge - EventBridge Pianificatore

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vice prevenzione confusa in Scheduler EventBridge

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. NelAWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.

Ti consigliamo di utilizzare le chiavi di contesto aws:SourceArne aws:SourceAccountglobal condition nel tuo ruolo di esecuzione della pianificazione per limitare le autorizzazioni concesse da EventBridge Scheduler a un altro servizio per accedere alla risorsa. Utilizzare aws:SourceArn se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare aws:SourceAccount se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.

Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale aws:SourceArn con l’ARN completo della risorsa. La seguente condizione è valida per un singolo gruppo di pianificazione: arn:aws:scheduler:*:123456789012:schedule-group/your-schedule-group

Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell’ARN. Ad esempio: arn:aws:scheduler:*:123456789012:schedule-group/*.

Il valore di aws:SourceArn deve essere l'ARN del gruppo di pianificazione EventBridge Scheduler a cui si desidera definire l'ambito di questa condizione.

Importante

Non limitate l'aws:SourceArnistruzione a una pianificazione specifica o al prefisso del nome di pianificazione. L'ARN specificato deve essere un gruppo di pianificazione.

L'esempio seguente mostra come è possibile utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition nella politica di fiducia del ruolo di esecuzione per evitare il problema confuso del vice:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "scheduler.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:scheduler:us-west-2:123456789012:schedule-group/your-schedule-group"
                }
            }
        }
    ]
}