¿Se puede utilizar una solicitud prefirmada varias veces? ¿Es un riesgo para la seguridad?¿Puede otra persona que no sea el usuario previsto utilizar una solicitud prefirmada?¿Puede un usuario autorizado utilizar una solicitud prefirmada para filtrar datos?¿Puedo denegar el acceso desde una URL prefirmada si sospecho que se ha compartido de forma no autorizada?

Preguntas frecuentes

¿Se puede utilizar una solicitud prefirmada varias veces? ¿Es un riesgo para la seguridad?

Sí, la firma de una solicitud prefirmada se puede usar más de una vez. Si se trata de un riesgo de seguridad es una cuestión contextual. Otros métodos de acceso a los servicios de AWS también permiten la repetición. Un usuario o una carga de trabajo con AWS credenciales pueden enviar muchas solicitudes Servicios de AWS, y cualquiera de ellas podría estar duplicada.

Si su caso de uso requiere una ejecución única y solo una vez, debe implementar otros mecanismos para imponer el uso único. El uso único no es una característica de las solicitudes prefirmadas. Como ingeniero de seguridad, debe revisar los casos de uso y las implementaciones, pero en muchos casos, el uso múltiple es adecuado para un uso aceptable.

¿Puede otra persona que no sea el usuario previsto utilizar una solicitud prefirmada?

Cualquier persona que esté en posesión de la misma puede enviar la firma de una solicitud prefirmada. Solo se aceptará si supera otras formas de validación, como los controles perimetrales de datos. Si la firma ha caducado, las credenciales de firma han caducado o las credenciales de firma no tienen acceso a los recursos solicitados, se denegará la solicitud.

Lo mismo ocurre con otros métodos de autenticación con Servicios de AWS. Las credenciales que se comparten de forma inapropiada permiten un acceso inapropiado. La mejor práctica básica es compartir las credenciales y firmas solo con el público objetivo. Si no puedes confiar en el público al que estás dirigido para proteger los datos privados y no compartirlos con otras personas, esto socavará cualquier forma de autenticación.

¿Puede un usuario autorizado utilizar una solicitud prefirmada para filtrar datos?

Proteger los datos requiere una acción sólida. Permitir el acceso para los fines previstos y, al mismo tiempo, mantener un perímetro de datos requiere un enfoque integral. El acceso con privilegios mínimos, los controles del perímetro de los datos y el uso exclusivo de credenciales de acceso temporales son las mejores prácticas generales que se aplican a la protección de los datos. El uso adecuado de estos controles también limita la capacidad de los usuarios para realizar acciones a través de las solicitudes prefirmadas que generan.

Esto se debe a que el acceso que proporcionan las solicitudes prefirmadas es un subconjunto del acceso otorgado a las credenciales que se utilizan para firmar la solicitud. En este contexto, las mejores prácticas que se aplican al acceso a los datos generalmente se aplican a las solicitudes prefirmadas, pero las solicitudes prefirmadas no crean ningún acceso nuevo a los datos.

La caducidad máxima se limita a la caducidad de las credenciales de firma. Si se revocan las credenciales de firma, las firmas basadas en las credenciales dejarán de ser válidas.
Si los permisos de la entidad principal de IAM asociada a las credenciales de firma no incluyen la ejecución de la acción asociada a la solicitud prefirmada, al invocar una solicitud prefirmada se obtiene una respuesta de «acceso denegado». La respuesta depende del estado actual de los permisos en el momento de la invocación, que no tiene relación con el momento en que se generó la firma de la solicitud prefirmada.
Las propiedades del principal se evalúan en función del principal asociado a las credenciales de firma.
Las propiedades de una sesión de rol se evalúan en función de la sesión de rol asociada a las credenciales de firma.
Las propiedades de la red se evalúan en función de cómo se recibió la solicitud, como ocurre con las solicitudes normales.

En este contexto, el examen de los riesgos asociados a las solicitudes prefirmadas se limita a las áreas en las que se firman con credenciales diferentes de las credenciales del usuario y proporcionan un acceso que no formaba parte del principal del usuario. Este examen debería aplicarse al diseño del servicio, la carga de trabajo o la solución que genera firmas en nombre del usuario, y no a la propia capacidad de solicitud prefirmada.

¿Puedo denegar el acceso desde una URL prefirmada si sospecho que se ha compartido de forma no autorizada?

Sí. Esto requiere invalidar las credenciales con las que se firmó la URL. Existen varias formas de lograrlo:

Elimine los permisos del principal de IAM al que pertenecen las credenciales. Si ese principal de IAM ya no tiene acceso al recurso y la operación para los que está firmada la URL, la URL no podrá ejecutar esa operación. Esto afecta a todos los usos coincidentes de ese principal de IAM.
Si las credenciales utilizadas para firmar la URL son temporales AWS STS , puede revocar los permisos de sesión para las credenciales temporales que se emitieron antes de una hora específica para el principal de IAM. Según el caso de uso, es posible que haya otras sesiones válidas que se invaliden antes de su fecha de caducidad normal, pero las sesiones nuevas no se verán afectadas. La revocación de los permisos de sesión también invalida los URLs que se hayan firmado con las credenciales asociadas a esas sesiones, pero los nuevos permisos URLs asociados a sesiones nuevas no se verán afectados.
Si las credenciales utilizadas para firmar la URL son permanentes, desactive la clave de acceso. Esto afecta a todo el uso vinculado a esas credenciales.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registrar las interacciones y las mitigaciones

Recursos