View a markdown version of this page

Cross-service confusa prevenzione sostitutiva - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cross-service confusa prevenzione sostitutiva

Un "confused deputy" è un'entità (un servizio o un account) costretta da un'altra entità a compiere un'azione. Questo tipo di impersonificazione può avvenire tra diversi account e tra diversi servizi.

Per evitare la confusione dei dipendenti, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi utilizzando gestori di servizi a cui è stato concesso l'accesso alle risorse del vostro. Account AWS Questa sezione si concentra sulla prevenzione del "confused deputy" dei servizi trasversali specifico di Monitor Internet; tuttavia, puoi saperne di più su questo argomento nella sezione Problema del "confused deputy" della Guida per l'utente di IAM .

Per limitare le autorizzazioni concesse a Internet Monitor per accedere alle risorse, consigliamo di utilizzare le chiavi di contesto della condizione globale aws:SourceArne aws:SourceAccountnelle politiche relative alle risorse. IAM

Se si utilizzano entrambe queste chiavi di contesto della condizione globale e il aws:SourceArn valore contiene l' Account AWS ID, il aws:SourceAccount valore e l' Account AWS in aws:SourceArn devono utilizzare lo stesso Account AWS ID quando vengono utilizzati nella stessa dichiarazione di policy.

Per Monitor Internet, è necessario specificare l'ID dell'account aws:SourceAccount e l'ARN del monitor per aws:SourceArn. Per l'accesso a più servizi, puoi utilizzare anche l'ARN del tuo monitor per aws:SourceArn.

Nota

Il modo più efficace per proteggersi dal problema del "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale aws:SourceArn con caratteri speciali (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:internetmonitor:us-east-1:111122223333:*.

Di seguito è riportato un esempio di policy "assume role" che mostra come puoi prevenire un problema "confused deputy".

JSON
{
  "Version":"2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}