Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prévention du cas de figure de l’adjoint désorienté entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé pour utiliser ses autorisations pour agir sur les ressources d’un autre client, lorsqu’il n’a pas l’autorisation de le faire. Pour éviter cela, Amazon Web Services fournit des outils qui peuvent vous aider à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés contextuelles de condition aws:SourceAccountglobale aws:SourceArnet les clés contextuelles dans les politiques de ressources afin de limiter les autorisations accordées à un autre service pour accéder à vos ressources. AWS Audit Manager
-
Utilisez
aws:SourceArnsi vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Vous pouvez également utiliseraws:SourceArnavec un caractère générique (*) si vous souhaitez spécifier plusieurs ressources.Par exemple, vous pouvez utiliser une rubrique Amazon SNS pour recevoir des notifications d’activité de la part d’Audit Manager. Dans ce cas, dans votre stratégie d’accès à la rubrique SNS, la valeur ARN de
aws:SourceArnest la ressource Audit Manager d’où provient la notification. Comme il est probable que vous disposiez de plusieurs ressources Audit Manager, nous vous recommandons d’utiliseraws:SourceArnavec un caractère générique. Cela vous permet de spécifier toutes les ressources Audit Manager dans votre stratégie d’accès à la rubrique SNS. -
Utilisez
aws:SourceAccountsi vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices. -
Si la valeur
aws:SourceArnne contient pas l’ID de compte, tel qu’un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. -
Si vous utilisez les deux conditions et que la valeur de
aws:SourceArncontient l’ID de compte, la valeur deaws:SourceAccountet le compte indiqué dans la valeur deaws:SourceArndoivent utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de politique. -
Le moyen le plus efficace de se protéger du problème de l’adjoint désorienté consiste à utiliser la clé de contexte de condition globale
aws:SourceArnavec l’ARN complet de la ressource. Si vous ne connaissez pas l’Amazon Resource Name (ARN) complet de la ressource ou spécifiez plusieurs ressources, utilisez la clé de contexte de condition globaleaws:SourceArnavec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple,arn:aws:.servicename:*:123456789012:*
Audit Manager : assistance adjoint désorienté
Audit Manager fournit une assistance adjoint désorienté dans les scénarios suivants. L’exemple suivant montre comment utiliser les clés de condition aws:SourceArn et aws:SourceAccount afin d’éviter le problème de l’adjoint désorienté.
Audit Manager ne fournit pas d’assistance adjoint désorienté pour la clé gérée par le client fournie dans vos paramètres Configuration de vos paramètres de chiffrement des données Audit Manager. Si vous avez fourni votre propre clé gérée par le client, vous ne pouvez pas utiliser les conditions aws:SourceAccount ou aws:SourceArn énoncées dans cette stratégie de clé KMS.
