Prevenção contra o ataque do “substituto confuso” em todos os serviços - Amazon CloudWatch

Prevenção contra o ataque do “substituto confuso” em todos os serviços

Um representante ou substituto confuso (“confused deputy”) é uma entidade (um serviço ou uma conta) que é coagida por uma entidade diferente a realizar uma ação. Esse tipo de falsificação de identidade pode ocorrer entre contas e serviços.

Para evitar representantes confusos, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços que usam entidades principais de serviço que receberam acesso a recursos em sua Conta da AWS. Esta seção se concentra na prevenção do problema de "confused deputy" entre serviços especificamente para o Monitor de Internet. No entanto, você poderá saber mais sobre esse tópico na seção de problema de "confused deputy" do Guia do usuário do IAM.

Para limitar as permissões que o IAM concede ao Monitor de Internet para acessar seus recursos, recomendamos usar as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount em suas políticas de recursos.

Se você usar essas duas chaves de contexto de condição globais e o valor aws:SourceArn contiver o ID da Conta da AWS, o valor aws:SourceAccount e a Conta da AWS em aws:SourceArn deverão usar o mesmo ID da Conta da AWS quando usados na mesma declaração de política.

Para o Monitor de Internet, você especifica o ID da sua conta para aws:SourceAccount e o ARN do seu monitor para aws:SourceArn. Para acesso entre serviços, você também usa o ARN do seu monitor para aws:SourceArn.

nota

A maneira mais eficaz de se proteger contra o problema de representante confuso é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo ou se estiver especificando vários recursos, use a chave de contexto de condição global aws:SourceArn com curingas (*) para as partes desconhecidas do ARN. Por exemplo, .arn:aws:internetmonitor:us-east-1:111122223333:*

O exemplo é uma política de perfil assumido que mostra como é possível evitar um problema de "confused deputy". 

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:111122223333:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}