View a markdown version of this page

Prevenzione del problema "confused deputy" tra servizi - AWS HealthOmics

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al problema del vicesceriffo confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce alcuni strumenti che consentono di proteggere i dati per tutti i servizi che dispongono di principali del servizio a cui è stato consentito l’accesso alle risorse del tuo account.

Consigliamo di utilizzare le chiavi di contesto aws:SourceArne aws:SourceAccountglobal condition nelle policy delle risorse per limitare le autorizzazioni che AWS HealthOmics concede a un altro servizio alla risorsa.

Per evitare il problema confuso dei vicedirettori nei ruoli assunti da HealthOmics, imposta il valore di aws:SourceArn to arn:aws:omics:region:accountNumber:* nella politica di fiducia del ruolo. La wildcard (*) applica la condizione a tutte le HealthOmics risorse.

La seguente politica sulle relazioni di fiducia concede HealthOmics l'accesso alle risorse e utilizza le aws:SourceArn chiavi di contesto della condizione aws:SourceAccount globale per prevenire il confuso problema del vice. Utilizza questa politica quando crei un ruolo per HealthOmics.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "omics.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:omics:us-east-1:123456789012:*" } } } ] }