View a markdown version of this page

Häufig gestellte Fragen - AWS Präskriptive Leitlinien
Kann eine vorab signierte Anfrage mehrfach verwendet werden? Ist das ein Sicherheitsrisiko?Kann eine andere Person als der vorgesehene Benutzer eine vorab signierte Anfrage verwenden?Kann ein autorisierter Benutzer eine vorab signierte Anfrage verwenden, um Daten zu exfiltrieren?Kann ich den Zugriff über eine vorsignierte URL verweigern, wenn ich vermute, dass sie auf unautorisierte Weise weitergegeben wurde?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Häufig gestellte Fragen

Kann eine vorab signierte Anfrage mehrfach verwendet werden? Ist das ein Sicherheitsrisiko?

Ja, eine Signatur in einer vorab signierten Anfrage könnte mehr als einmal verwendet werden. Ob es sich dabei um ein Sicherheitsrisiko handelt, ist eine kontextuelle Frage. Andere Methoden für den Zugriff auf AWS-Services ermöglichen ebenfalls Wiederholungen. Ein Benutzer oder ein Workload mit AWS Anmeldeinformationen kann viele Anfragen senden AWS-Services, und bei jeder dieser Anfragen kann es sich um Duplikate handeln.

Wenn Ihr Anwendungsfall eine einmalige Ausführung erfordert, sollten Sie andere Mechanismen implementieren, um die einmalige Verwendung zu erzwingen. Die einmalige Verwendung ist kein Merkmal von vorab signierten Anfragen. Als Sicherheitsingenieur sollten Sie die Anwendungsfälle und Implementierungen überprüfen, aber in vielen Fällen ist eine Mehrfachnutzung für eine akzeptable Verwendung ausreichend.

Kann eine andere Person als der vorgesehene Benutzer eine vorab signierte Anfrage verwenden?

Eine Signatur in einer vorab signierten Anfrage kann von jedem gesendet werden, der sie besitzt. Sie wird nur akzeptiert, wenn sie andere Formen der Validierung, wie z. B. Datenperimeterkontrollen, bestanden hat. Wenn die Signatur abgelaufen ist, die Anmeldeinformationen abgelaufen sind oder die Signaturanmeldedaten keinen Zugriff auf die angeforderten Ressourcen haben, wird die Anfrage abgelehnt.

Das Gleiche gilt für andere Methoden der Authentifizierung mit AWS-Services. Anmeldeinformationen, die unangemessen weitergegeben werden, ermöglichen einen unangemessenen Zugriff. Die wichtigste bewährte Methode besteht darin, Anmeldeinformationen und Signaturen nur an die vorgesehene Zielgruppe weiterzugeben. Wenn Sie nicht darauf vertrauen können, dass Ihre Zielgruppe private Daten sicher verwahrt und nicht an Dritte weitergibt, untergräbt dies jegliche Form der Authentifizierung.

Kann ein autorisierter Benutzer eine vorab signierte Anfrage verwenden, um Daten zu exfiltrieren?

Die Sicherung von Daten erfordert robuste Maßnahmen. Um den Zugriff für bestimmte Zwecke zu ermöglichen und gleichzeitig einen Datenperimeter aufrechtzuerhalten, ist ein umfassender Ansatz erforderlich. Der Zugriff mit geringsten Rechten, Datenperimeterkontrollen und die Verwendung nur temporärer Zugangsdaten sind allgemeine bewährte Methoden zur Sicherung von Daten. Der angemessene Einsatz dieser Kontrollen schränkt auch die Fähigkeit der Benutzer ein, Aktionen anhand der von ihnen generierten, vorab signierten Anfragen auszuführen.

Dies liegt daran, dass der durch eine vorsignierte Anfrage bereitgestellte Zugriff nur einen Teil des Zugriffs darstellt, der den Anmeldeinformationen gewährt wird, die zum Signieren der Anfrage verwendet werden. In diesem Zusammenhang gelten die bewährten Methoden, die für den Zugriff auf Daten gelten, im Allgemeinen auch für vorab signierte Anfragen, aber vorsignierte Anfragen ermöglichen keinen neuen Zugriff auf Daten. 

  • Die maximale Gültigkeitsdauer ist auf den Ablauf der Signaturdaten beschränkt. Wenn die Signieranmeldedaten gesperrt werden, sind Signaturen, die auf den Anmeldeinformationen basieren, nicht mehr gültig.

  • Wenn die Berechtigungen für den IAM-Prinzipal, der den Signieranmeldeinformationen zugeordnet ist, nicht die Ausführung der Aktion beinhalten, die mit der vorab signierten Anfrage verknüpft ist, führt das Aufrufen einer vorab signierten Anfrage zu einer Antwort mit der Meldung „Zugriff verweigert“. Die Antwort hängt vom aktuellen Status der Berechtigungen zum Zeitpunkt des Aufrufs ab, der nichts mit dem Zeitpunkt zu tun hat, zu dem die Signatur der vorsignierten Anfrage generiert wurde. 

  • Die Eigenschaften des Prinzipals werden auf der Grundlage des Prinzipals bewertet, der den Signieranmeldeinformationen zugeordnet ist. 

  • Die Eigenschaften einer Rollensitzung werden auf der Grundlage der Rollensitzung bewertet, die den Signieranmeldeinformationen zugeordnet ist.

  • Wie bei normalen Anfragen werden die Eigenschaften des Netzwerks anhand der Art und Weise bewertet, wie die Anfrage empfangen wurde. 

In diesem Zusammenhang beschränkt sich die Untersuchung der Risiken im Zusammenhang mit vorab signierten Anfragen auf Bereiche, in denen sie mit Anmeldeinformationen signiert sind, die sich von den Anmeldeinformationen des Benutzers unterscheiden und Zugriff ermöglichen, der nicht Teil des Principals eines Benutzers war. Diese Prüfung sollte auf das Design des Dienstes, die Arbeitslast oder die Lösung angewendet werden, die Signaturen im Namen eines Benutzers generiert, und nicht auf die vorsignierte Anforderungsfunktion selbst.

Kann ich den Zugriff über eine vorsignierte URL verweigern, wenn ich vermute, dass sie auf unautorisierte Weise weitergegeben wurde?

Ja. Dazu müssen die Anmeldeinformationen, mit denen die URL signiert wurde, ungültig gemacht werden. Es gibt mehrere Möglichkeiten, dies zu erreichen:

  • Entfernen Sie die Berechtigungen aus dem IAM-Principal, zu dem die Anmeldeinformationen gehören. Wenn dieser IAM-Prinzipal keinen Zugriff mehr auf die Ressource und den Vorgang hat, für den die URL signiert ist, kann die URL diesen Vorgang nicht ausführen. Dies wirkt sich auf alle übereinstimmenden Verwendungen dieses IAM-Prinzipals aus.

  • Wenn es sich bei den zum Signieren der URL verwendeten Anmeldeinformationen um temporäre AWS STS Anmeldeinformationen handelt, können Sie die Sitzungsberechtigungen für temporäre Anmeldeinformationen widerrufen, die vor einem bestimmten Zeitpunkt für den IAM-Prinzipal ausgestellt wurden. Je nach Anwendungsfall kann es andere gültige Sitzungen geben, die vor ihrer normalen Ablaufzeit ungültig werden, aber neue Sitzungen sind davon nicht betroffen. Durch den Widerruf von Sitzungsberechtigungen werden auch alle ungültig URLs , die mit den entsprechenden Anmeldeinformationen signiert wurden. Neue, die mit neuen Sitzungen URLs verknüpft sind, sind davon jedoch nicht betroffen.

  • Wenn es sich bei den zum Signieren der URL verwendeten Anmeldeinformationen um permanente Anmeldeinformationen handelt, deaktivieren Sie den Zugriffsschlüssel. Dies wirkt sich auf die gesamte Nutzung aus, die mit diesen Anmeldeinformationen verknüpft ist.