Prevenção do problema "confused deputy" entre serviços - AWS Batch
Exemplo: perfil para acessar apenas um ambientes de computaçãoExemplo: perfil para acessar vários ambientes de computação

Prevenção do problema "confused deputy" entre serviços

O problema de adjunto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir outra entidade mais privilegiada a executá-la. Na AWS, a personificação entre serviços pode resultar no problema do ‘confused deputy’. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos o uso das chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em políticas de recursos para limitar as permissões de acesso ao recurso que o AWS Batch concede a outro serviço. Se o valor de aws:SourceArn não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor aws:SourceArn contém o ID da conta, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar a mesma ID de conta quando na mesma declaração de política. Use aws:SourceArn se quiser apenas um recurso associado a acessibilidade de serviço. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado a acessibilidade de serviço.

O valor de aws:SourceArn deve ser o recurso armazenado por AWS Batch.

A maneira mais efetiva de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global aws:SourceArn com caracteres curinga (*) para as partes desconhecidas do ARN. Por exemplo, arn:aws:servicename:*:123456789012:*.

Os exemplos a seguir mostram como você pode usar as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount no AWS Batch para evitar o problema “confused deputy.”

Exemplo: perfil para acessar apenas um ambientes de computação

A função a seguir pode ser usada apenas para acessar um ambiente computacional. O nome do trabalho deve ser especificado como *, porque a fila de trabalhos pode ser associada a vários ambientes de computação.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "batch.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": [
            "arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
            "arn:aws:batch:us-east-1:123456789012:job/*"
          ]
        }
      }
    }
  ]
}

Exemplo: perfil para acessar vários ambientes de computação

A função a seguir pode ser usada apenas para acessar vários ambientes computacionais.. O nome do trabalho deve ser especificado como *, porque a fila de trabalhos pode ser associada a vários ambientes de computação.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "batch.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": [
            "arn:aws:batch:us-east-1:123456789012:compute-environment/*",
            "arn:aws:batch:us-east-1:123456789012:job/*"
          ]
        }
      }
    }
  ]
}