Connect Customer Customer Customer Connect Customer Voice ID Connect Customer, chat, streaming di messaggi su più servizi, prevenzione della confusione

Cross-service confusa prevenzione sostitutiva in AWS

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel frattempo AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. Cross-servicel'impersonificazione può verificarsi quando un servizio (il servizio chiamante) chiama un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse dell'account.

Si consiglia di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che Connect Customer concede a un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il modo più efficace per proteggersi dal problema "confused deputy" è utilizzare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell’ARN. Ad esempio, arn:aws:servicename::region-name::your AWS account ID:*.

Connect Customer Customer Customer Profiles - Prevenzione della confusione interservizio

Gli esempi seguenti mostrano le politiche che si applicano ai casi in cui qualcun altro è impostato come amministratore per Connect Customer Customer Profiles. Utilizza queste policy per evitare il problema "confused deputy".

Esempio di politica Connect Customer Customer Profiles per creare domini Customer Profile

Esempio di politica Connect Customer Customer Profiles per creare tipi di oggetti Customer Profiles

Esempio di politica Connect Customer Customer Profiles per creare e aggiornare code di lettere non scritte

Esempio di policy Connect Customer Customer Profiles per proteggere il bucket Amazon S3 utilizzato come parte del processo di Identity Resolution


{
    "Sid": "Allow Connect Customer Customer Profiles to put S3 objects to your bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "profile.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "your AWS account ID"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/*"
        }
    }
}

Connect Customer Voice ID multiservizio, prevenzione della confusione

Il seguente esempio di Voice ID mostra una policy delle risorse da applicare per evitare il problema "confused deputy".

Connect Customer, chat, streaming di messaggi su più servizi, prevenzione della confusione

Il seguente esempio di Connect Customer mostra una politica delle risorse da applicare per prevenire il problema del confuso assistente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell’infrastruttura

Best practice di sicurezza