Amazon AppStream 2.0 Cross-Service Confused Device Prevention - Amazon AppStream 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon AppStream 2.0 Cross-Service Confused Device Prevention

El problema del suplente confuso es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción obliga a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede resultar en el problema del suplente confuso. La suplantación entre servicios ocurre cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas puede manipular el servicio llamado para que utilice sus permisos para actuar en los recursos de un cliente de maneras en las que el servicio que lleva a cabo las llamadas no tiene permiso hacerlo. Para evitarlo, AWS proporciona herramientas que le ayudan a proteger los datos de todos los servicios con directores de servicio que tienen acceso a los recursos de su cuenta.

Se recomienda utilizar las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos para limitar los permisos cuando se accede a estos recursos. En las siguientes directrices se detallan las recomendaciones y los requisitos a la hora de utilizar estas claves para proteger los recursos:

  • Utilice aws:SourceArn si desea que solo se asocie un recurso al acceso entre servicios.

  • Utilice aws:SourceAccount si quiere permitir que cualquier recurso en la cuenta especificada se asocie al uso entre servicios.

  • Si la clave aws:SourceArn no contiene un ID de cuenta, debe utilizar ambas claves de contexto de condición global (aws:SourceArn y aws:SourceAccount) para limitar los permisos.

  • Si se utilizan ambas claves de contexto de condición global y el valor aws:SourceArn contiene un ID de cuenta, la clave aws:SourceAccount debe utilizar el mismo ID de cuenta cuando se utilice en la misma declaración de política.

La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar el nombre de recurso de Amazon (ARN) exacto del recurso que desea permitir. Si no conoce el ARN completo del recurso, utilice la clave de condición de contexto global aws:SourceArn con comodines (como *) para las partes desconocidas del ARN. También puede utilizar un comodín en el ARN si desea especificar varios recursos. Por ejemplo, puede formatear el ARN como arn:aws:servicename::region-name::your Cuenta de AWS ID:*.

Temas