Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Serviceübergreifende Vermeidung verwirrter Stellvertreter in Amazon EKS
Bei dem Problem mit verwirrten Stellvertretern handelt es sich um ein Sicherheitsproblem, bei dem eine Entität, die nicht zur Ausführung einer Aktion berechtigt ist, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. In AWS: Dienstübergreifendes Identitätswechsels kann zum Problem des verwirrten Stellvertreters führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden in einer Weise zu agieren, für die er sonst keine Zugriffsberechtigung hätte. Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen aws:SourceArn
, die Kontextschlüssel für aws:SourceAccount
globale Bedingungen in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Elastic Kubernetes Service (Amazon EKS) einem anderen Service für die Ressource erteilt.
-
aws:SourceArn
-
Verwenden Sie
aws:SourceArn
, um nur einer Ressource den serviceübergreifenden Zugriff zuzuordnen. -
aws:SourceAccount
-
Verwenden Sie
aws:SourceAccount
, um jede Ressource in diesem Konto der serviceübergreifenden Nutzung zuzuordnen.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels aws:SourceArn
mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn
globalen Kontextbedingungsschlüssel mit Platzhalterzeichen (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:<servicename>:*:<123456789012>:*
.
Wenn der aws:SourceArn
-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie sowohl aws:SourceAccount
als auch aws:SourceArn
verwenden, um Berechtigungen einzuschränken.
Amazon EKS-Clusterrolle, serviceübergreifend, verwirrte Stellvertreterprävention
Für jeden Cluster ist eine Amazon EKS-Cluster-IAM-Rolle erforderlich. Von Amazon EKS verwaltete Kubernetes-Cluster verwenden diese Rolle zur Verwaltung von Knoten, und der ältere Cloud-Anbieter
ARN-Quellformat
Der Wert von aws:SourceArn
muss der ARN eines EKS-Clusters im Format sein arn:aws: eks:
. Beispiel, region
:account
:cluster/cluster-name
arn:aws: eks:us-west-2:123456789012:cluster/my-cluster
.
Vertrauensrichtlinienformat für EKS-Clusterrollen
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel aws:SourceArn
und die aws:SourceAccount
globalen Bedingungsschlüssel in Amazon EKS verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:us-west-2:123456789012:cluster/my-cluster" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }