Serviceübergreifende Vermeidung verwirrter Stellvertreter in Amazon EKS - Amazon EKS

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Vermeidung verwirrter Stellvertreter in Amazon EKS

Bei dem Problem mit verwirrten Stellvertretern handelt es sich um ein Sicherheitsproblem, bei dem eine Entität, die nicht zur Ausführung einer Aktion berechtigt ist, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. In AWS: Dienstübergreifendes Identitätswechsels kann zum Problem des verwirrten Stellvertreters führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden in einer Weise zu agieren, für die er sonst keine Zugriffsberechtigung hätte. Um dies zu verhindern, werden Tools AWS bereitgestellt, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen aws:SourceArn, die Kontextschlüssel für aws:SourceAccountglobale Bedingungen in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Elastic Kubernetes Service (Amazon EKS) einem anderen Service für die Ressource erteilt.

aws:SourceArn

Verwenden Sie aws:SourceArn, um nur einer Ressource den serviceübergreifenden Zugriff zuzuordnen.

aws:SourceAccount

Verwenden Sie aws:SourceAccount, um jede Ressource in diesem Konto der serviceübergreifenden Nutzung zuzuordnen.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit Platzhalterzeichen (*) für die unbekannten Teile des ARN. Beispiel, arn:aws:<servicename>:*:<123456789012>:*.

Wenn der aws:SourceArn-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie sowohl aws:SourceAccount als auch aws:SourceArn verwenden, um Berechtigungen einzuschränken.

Amazon EKS-Clusterrolle, serviceübergreifend, verwirrte Stellvertreterprävention

Für jeden Cluster ist eine Amazon EKS-Cluster-IAM-Rolle erforderlich. Von Amazon EKS verwaltete Kubernetes-Cluster verwenden diese Rolle zur Verwaltung von Knoten, und der ältere Cloud-Anbieter verwendet diese Rolle, um Load Balancer mit Elastic Load Balancing für Services zu erstellen. Diese Cluster-Aktionen können sich nur auf dasselbe Konto auswirken. Wir empfehlen daher, jede Cluster-Rolle auf diesen Cluster und dieses Konto zu beschränken. Dies ist eine spezifische Anwendung der AWS Empfehlung, in Ihrem Konto den Grundsatz der geringsten Rechte zu befolgen.

ARN-Quellformat

Der Wert von aws:SourceArn muss der ARN eines EKS-Clusters im Format sein arn:aws: eks:region:account:cluster/cluster-name . Beispiel, arn:aws: eks:us-west-2:123456789012:cluster/my-cluster.

Vertrauensrichtlinienformat für EKS-Clusterrollen

Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in Amazon EKS verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:us-west-2:123456789012:cluster/my-cluster" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }