Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Cross-service verwirrte Stellvertreterin Prävention in AWS
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Cross-serviceEin Identitätswechsel kann auftreten, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den angerufenen Dienst) aufruft. Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Connect Customer einem anderen Dienst für die Ressource erteilt. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der aws:SourceAccount-Wert und das Konto im aws:SourceArn-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des exakten Amazon-Ressourcennamens (ARN) der Ressource, die Sie zulassen möchten. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel aws:SourceArn mit Platzhaltern (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:.servicename::region-name::your AWS account ID:*
Connect Kunden Kundenprofile dienstübergreifend verwirrte Stellvertreter Prävention
Die folgenden Beispiele zeigen Richtlinien, die für Fälle gelten, in denen eine andere Person als Administrator für Connect-Kundenprofile eingerichtet ist. Verwenden Sie diese Richtlinien, um das Confused-Deputy-Problem zu verhindern.
Beispiel für Connect Connect-Kundenprofilrichtlinie zur Erstellung von Kundenprofildomänen
Beispiel für die Richtlinie Connect Customer Customer Profiles zum Erstellen von Objekttypen für Kundenprofile
Beispiel für Connect Connect-Kundenprofile-Richtlinie zum Erstellen und Aktualisieren von Warteschlangen für unzustellbare Briefe
Beispiel für Connect Connect-Kundenprofilrichtlinie zum Schutz des Amazon S3 S3-Buckets, der im Rahmen des Identity Resolution-Prozesses verwendet wird
{ "Sid": "Allow Connect Customer Customer Profiles to put S3 objects to your bucket", "Effect": "Allow", "Principal": { "Service": "profile.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:SourceAccount": "your AWS account ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/*" } } }
Connect Customer Voice ID serviceübergreifender verwirrter Stellvertreter Prävention
Das folgende Voice-ID-Beispiel zeigt eine Ressourcenrichtlinie, die angewendet werden muss, um das Confused-Deputy-Problem zu verhindern.
Connect Kunden-Chat-Nachrichten-Streaming dienstübergreifender verwirrter Stellvertreter Prävention
Das folgende Beispiel für Connect Customer zeigt eine Ressourcenrichtlinie, die angewendet werden muss, um das Problem des verwirrten Stellvertreters zu verhindern.
