Serviceübergreifende Confused-Deputy-Prävention - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Confused-Deputy-Prävention

Ein confused Deputy ist eine Entität (ein Service oder ein Konto), die von einer anderen Entität gezwungen wird, eine Aktion durchzuführen. Diese Art des Identitätswechsels kann konto- und dienstübergreifend erfolgen.

Um zu verhindern, dass Abgeordnete verwirrt werden, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste schützen können, indem Sie Dienstprinzipale verwenden, denen Zugriff auf Ressourcen in Ihrem gewährt wurde. AWS-KontoDieser Abschnitt konzentriert sich speziell auf Internet Monitor auf die dienstübergreifende Vermeidung verwirrter Stellvertreter. Weitere Informationen zu diesem Thema finden Sie jedoch im Abschnitt „Problem mit verwirrten Stellvertretern“ des Benutzerhandbuchs.IAM

Um die Rechte einzuschränken, die Internet Monitor für den Zugriff auf Ihre Ressourcen IAM gewährt, empfehlen wir, die Kontextschlüssel für globale Bedingungen aws:SourceArnund aws:SourceAccountin Ihren Ressourcenrichtlinien zu verwenden.

Wenn Sie diese beiden globalen Bedingungskontextschlüssel verwenden und der aws:SourceArn Wert die AWS-Konto ID enthält, aws:SourceArn müssen der aws:SourceAccount Wert und die AWS-Konto Eingabe dieselbe AWS-Konto ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Für Internet Monitor geben Sie Ihre Konto-ID für aws:SourceAccount und Ihren Monitor-ARN für anaws:SourceArn. Für den dienstübergreifenden Zugriff verwenden Sie auch Ihren Monitor-ARN füraws:SourceArn.

Anmerkung

Der wirksamste Schutz gegen Confused-Deputy-Probleme ist die Verwendung des globalen Bedingungskontextschlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel aws:SourceArn mit Platzhaltern (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:internetmonitor:us-east-1:111122223333:*.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie „Rolle übernehmen“. Es zeigt, wie Sie verhindern können, dass ein unübersichtlicher Stellvertreter auftritt. 

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}