Prevención de la sustitución confusa entre servicios

Un suplente confuso es una entidad (un servicio o una cuenta) que es obligada por una entidad diferente a realizar una acción. Este tipo de suplantación puede ocurrir entre cuentas y entre servicios.

Para evitar suplentes confusos, AWS proporciona herramientas que lo ayuda a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su Cuenta de AWS. Esta sección se centra en la prevención de suplentes confusos específica entre servicios de Internet Monitor; no obstante, puede obtener más información sobre este tema en la sección Problema del suplente confuso de la Guía del usuario de IAM.

Para limitar los permisos que IAM concede a Internet Monitor para acceder a sus recursos, se recomienda utilizar las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos.

Si utiliza claves de contexto de condición global y el valor de aws:SourceArn contiene el ID de Cuenta de AWS, el valor aws:SourceAccount y Cuenta de AWS en aws:SourceArn deben utilizar el mismo ID de Cuenta de AWS cuando se utiliza en la misma instrucción de política.

En el caso de Internet Monitor, debe especificar el ID de cuenta para aws:SourceAccount y el ARN del monitor para aws:SourceArn. Para el acceso entre servicios, también utiliza el ARN de su monitor para aws:SourceArn.

nota

La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de condición de contexto de global aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso, o si especifica varios recursos, utilice la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:internetmonitor:us-east-1:111122223333:*.

A continuación, se proporciona un ejemplo de una política de asunción de roles que muestra cómo se puede evitar un problema de suplente confuso.


{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Funcionamiento de Internet Monitor con IAM

Políticas gestionadas de AWS