View a markdown version of this page

Cross-service verwirrter Abgeordneter, Prävention - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cross-service verwirrter Abgeordneter, Prävention

Ein confused Deputy ist eine Entität (ein Service oder ein Konto), die von einer anderen Entität gezwungen wird, eine Aktion durchzuführen. Diese Art des Identitätswechsels kann konto- und dienstübergreifend erfolgen.

Um zu verhindern, dass Abgeordnete verwirrt werden, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste schützen können, indem Sie Dienstprinzipale verwenden, denen Zugriff auf Ressourcen in Ihrem gewährt wurde. AWS-Konto Dieser Abschnitt konzentriert sich auf die serviceübergreifende Confused-Deputy-Prävention, die spezifisch für Internet Monitor ist. Mehr über dieses Thema erfahren Sie im Abschnitt zu Confused-Deputy-Problemen im Benutzerhandbuch für IAM .

Um die Rechte einzuschränken, die Internet Monitor für den Zugriff auf Ihre Ressourcen IAM gewährt, empfehlen wir, die Kontextschlüssel für globale Bedingungen aws:SourceArnund aws:SourceAccountin Ihren Ressourcenrichtlinien zu verwenden.

Wenn Sie diese beiden globalen Bedingungskontextschlüssel verwenden und der aws:SourceArn Wert die AWS-Konto ID enthält, aws:SourceArn müssen der aws:SourceAccount Wert und die AWS-Konto Eingabe dieselbe AWS-Konto ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Für Internet Monitor geben Sie für aws:SourceAccount Ihre Konto-ID und für aws:SourceArn Ihren Monitor-ARN an. Für den serviceübergreifenden Zugriff geben Sie für aws:SourceArn ebenfalls Ihren Monitor-ARN.

Anmerkung

Der wirksamste Schutz gegen Confused-Deputy-Probleme ist die Verwendung des globalen Bedingungskontextschlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel aws:SourceArn mit Platzhaltern (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:internetmonitor:us-east-1:111122223333:*.

Das folgende Beispiel ist eine Übernahmerollenrichtlinie, die zeigt, wie Sie ein Problem mit „Confused Deputy“ verhindern können.

JSON
{
  "Version":"2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}