View a markdown version of this page

Cross-service prévention confuse des adjoints - AWS Backup

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cross-service prévention confuse des adjoints

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. Cross-servicel'usurpation d'identité peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés de contexte de condition aws:SourceAccountglobale aws:SourceArnet les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Backup accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

La valeur de aws:SourceArn doit être un AWS Backup coffre-fort lorsque vous l'utilisez AWS Backup pour publier des sujets Amazon SNS en votre nom.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple, arn:aws::servicename::123456789012:*.

L'exemple suivant montre comment vous pouvez utiliser les touches de contexte de condition aws:SourceAccount globale aws:SourceArn et globale AWS Backup pour éviter le problème de confusion des adjoints. Ajoutez la déclaration suivante à votre politique relative aux clés KMS pour empêcher le principal du service d'effectuer backup-storage.amazonaws.com des actions KMS, sauf si la demande provient des coffres-forts et du compte de sauvegarde que vous avez spécifiés :

{ "Sid": "Deny Backup Storage confused deputy", "Effect": "Deny", "Principal": { "Service": "backup-storage.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:RetireGrant", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:SourceAccount": "123456789012" }, "ArnNotLike": { "aws:SourceArn": "arn:aws::backup:us-east-1:123456789012:backup-vault:*" } } }

Remplacez us-east-1 par votre Région AWS et 123456789012 par votre identifiant de AWS compte. Cette politique interdit au principal du service de AWS Backup stockage d'utiliser votre clé KMS, sauf si la demande provient d'un coffre-fort de sauvegarde du compte et de la région que vous avez spécifiés.