Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prevenzione complementare e confusa tra diversi servizi in Stacks OpsWorks
Importante
Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il Supporto AWS Team su AWS re:post
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi diversi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto aws:SourceArne di condizione aws:SourceAccountglobale nelle politiche di accesso allo stack per limitare le autorizzazioni che AWS OpsWorks Stacks fornisce agli stack con un altro servizio. Se il valore aws:SourceArn non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l’account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizza aws:SourceArn se desideri che venga associato un solo stack all'accesso tra servizi. aws:SourceAccountUtilizzalo se desideri consentire l'associazione di qualsiasi stack di quell'account all'utilizzo tra servizi.
Il valore di aws:SourceArn deve essere l'ARN di uno OpsWorks stack.
Il modo più efficace per proteggersi dal confuso problema del vice consiste nell'utilizzare la chiave aws:SourceArn global condition context con l'ARN completo dello OpsWorks
stack Stacks. Se non conosci l'ARN completo o se stai specificando più stack ARNs, usa la chiave aws:SourceArn global context condition con wildcards (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:.servicename:*:123456789012:*
La sezione seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in OpsWorks Stacks per evitare il confuso problema del vice.
Evita gli exploit confusi dei vice in Stacks OpsWorks
Questa sezione descrive come contribuire a prevenire la confusione degli exploit dei deputati in OpsWorks
Stacks e include esempi di policy di autorizzazione che puoi associare al ruolo IAM che stai utilizzando per accedere a Stacks. OpsWorks Come best practice in materia di sicurezza, ti consigliamo di aggiungere le chiavi aws:SourceArn e aws:SourceAccount condition alle relazioni di fiducia che il tuo ruolo IAM intrattiene con altri servizi. Le relazioni di fiducia consentono a OpsWorks Stacks di assumere il ruolo di eseguire azioni in altri servizi necessari per creare o gestire i tuoi OpsWorks stack Stacks.
Per modificare le relazioni di fiducia per aggiungere aws:SourceArn e condizionare le chiavi aws:SourceAccount
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Nella casella di ricerca, cerca il ruolo che utilizzi per accedere a OpsWorks Stacks. Il ruolo AWS gestito è
aws-opsworks-service-role. -
Nella pagina di riepilogo del ruolo, scegli la scheda Relazioni di fiducia.
-
Nella scheda Relazioni di fiducia, scegli Modifica politica di fiducia.
-
Nella pagina Modifica politica di fiducia, aggiungi almeno una delle chiavi
aws:SourceArno delleaws:SourceAccountcondizioni alla politica. Utilizzaloaws:SourceArnper limitare la relazione di fiducia tra servizi incrociati (come Amazon EC2) e OpsWorks Stacks a stack Stacks specifici OpsWorks , il che è più restrittivo. Aggiungiaws:SourceAccountper limitare la relazione di fiducia tra cross services e OpsWorks Stacks agli stack di un account specifico, il che è meno restrittivo. Di seguito è riportato un esempio di : Tieni presente che se utilizzi entrambe le chiavi di condizione, l'account IDs deve essere lo stesso. -
Quando hai finito di aggiungere le chiavi di condizione, scegli Aggiorna politica.
Di seguito sono riportati altri esempi di ruoli che limitano l'accesso agli stack utilizzando aws:SourceArn andaws:SourceAccount.
Argomenti
Esempio: accesso agli stack in una regione specifica
La seguente dichiarazione sulla relazione di fiducia tra i ruoli accede a qualsiasi OpsWorks stack Stacks nella regione Stati Uniti orientali (Ohio) (). us-east-2 Nota che la regione è specificata nel valore ARN diaws:SourceArn, ma il valore dell'ID dello stack è un carattere jolly (*).
Esempio: aggiunta di più di uno stack ARN a aws:SourceArn
L'esempio seguente limita l'accesso a una matrice di due OpsWorks stack di stack nell'account ID 123456789012.
