Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cross-service prévention adjointe confuse dans AWS
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. Cross-servicel'usurpation d'identité peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés contextuelles de condition aws:SourceAccountglobale aws:SourceArnet les clés contextuelles dans les politiques de ressources afin de limiter les autorisations que Connect Customer accorde à un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.
Le moyen le plus efficace de se protéger contre le problème de l’adjoint confus consiste à utiliser l’Amazon Resource Name (ARN) exact de la ressource que vous souhaitez autoriser. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple, arn:aws:.servicename::region-name::your AWS account ID:*
Connect Customer | Profils des clients | Interservice | Prévention des adjoints confus
Les exemples suivants présentent les politiques qui s'appliquent aux cas où une autre personne est configurée en tant qu'administrateur pour Connect Customer Customer Profiles. Utilisez ces politiques pour prévenir le problème de l’adjoint confus.
Exemple de politique Connect Customer Customer Profiles pour créer des domaines de profil client
Exemple de politique Connect Customer Customer Profiles pour créer des types d'objets Customer Profiles
Exemple de politique Connect Customer Customer Profiles pour créer et mettre à jour des files d'attente de lettres mortes
Exemple de politique Connect Customer Customer Profiles visant à protéger le compartiment Amazon S3 utilisé dans le cadre du processus de résolution des identités
{ "Sid": "Allow Connect Customer Customer Profiles to put S3 objects to your bucket", "Effect": "Allow", "Principal": { "Service": "profile.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:SourceAccount": "your AWS account ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/*" } } }
Connect Customer Voice ID, cross-service, prévention de la confusion chez les adjoints
L’exemple Voice ID suivant présente une politique de ressource à appliquer pour prévenir le problème de l’adjoint confus.
Connect Customer : diffusion de messages de chat, cross-service, prévention de la confusion chez les adjoints
L'exemple Connect Customer suivant montre une politique de ressources à appliquer pour éviter le problème de confusion des adjoints.
