Prevenzione del problema "confused deputy" tra servizi

Un "confused deputy" è un'entità (un servizio o un account) costretta da un'altra entità a compiere un'azione. Questo tipo di impersonificazione può avvenire tra diversi account e tra diversi servizi.

Per evitare la confusione dei dipendenti, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi utilizzando gestori di servizi a cui è stato concesso l'accesso alle risorse del vostro. Account AWSQuesta sezione si concentra sulla prevenzione della confusione tra i vari servizi, specifica di Internet Monitor; tuttavia, puoi saperne di più su questo argomento nella sezione dedicata ai problemi dei deputati confusi della Guida per l'IAM utente.

Per limitare le autorizzazioni concesse a Internet Monitor per accedere alle risorse, si consiglia di utilizzare le chiavi di contesto della condizione globale aws:SourceArne aws:SourceAccountnelle politiche relative alle risorse. IAM

Se si utilizzano entrambe queste chiavi di contesto della condizione globale e il aws:SourceArn valore contiene l' Account AWS ID, il aws:SourceAccount valore e l' Account AWS in aws:SourceArn devono utilizzare lo stesso Account AWS ID quando vengono utilizzati nella stessa dichiarazione di policy.

Per Internet Monitor, è necessario specificare l'ID dell'account aws:SourceAccount e l'ARN del monitor per. aws:SourceArn Per l'accesso a più servizi, puoi utilizzare anche il tuo monitor aws:SourceArn ARN per.

Nota

Il modo più efficace per proteggersi dal problema del "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale aws:SourceArn con caratteri speciali (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:internetmonitor:us-east-1:111122223333:*.

Quello che segue è un esempio di politica basata sull'assunzione di un ruolo che mostra come prevenire una confusa questione di vice deputato.


{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzionamento di Monitor Internet con IAM

AWS politiche gestite