Beispiele zur Begrenzung des Problems mit verwirrtem Stellvertreter - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele zur Begrenzung des Problems mit verwirrtem Stellvertreter

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS Fällen kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit einem verwirrten Stellvertreter führen. Weitere Details finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

Anmerkung

Ersetzen Sie in den folgenden Beispielen jedes durch Ihre user input placeholder eigenen Informationen.

In diesen Beispielen können Sie die ARN-Details für einen Workflow entfernen, wenn an Ihren Server keine Workflows angehängt sind.

Die folgende logging/invocation Beispielrichtlinie ermöglicht es jedem Server (und Workflow) im Konto, die Rolle zu übernehmen.

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllServersWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                   "aws:SourceArn": [
                     "arn:aws:transfer:us-west-2:111122223333:server/*",
                     "arn:aws:transfer:us-west-2:111122223333:workflow/*"
                   ]
                }
            }
        }
    ]
}

Die folgende logging/invocation Beispielrichtlinie ermöglicht es einem bestimmten Server (und Workflow), die Rolle zu übernehmen.

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificServerWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnEquals": {
                   "aws:SourceArn": [
                       "arn:aws:transfer:us-west-2:111122223333:server/server-id",
                       "arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
                   ]
                }
            }
        }
    ]
}