Prevenção do problema do confused deputy entre serviços - AWS DataSync

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção do problema do confused deputy entre serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos usar aws:SourceArnas chaves de contexto de condição aws:SourceAccountglobal nas políticas de recursos para limitar as permissões que AWS DataSync concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global e o valor de aws:SourceArn contiver o ID da conta, o valor de aws:SourceAccount e a conta no valor de aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política. Use aws:SourceArn se quiser que apenas um recurso seja associado ao acesso entre serviços. Use aws:SourceAccount se quiser que qualquer recurso nessa conta seja associado ao uso entre serviços.

O valor de aws:SourceArn deve incluir o ARN do DataSync local com o qual DataSync é permitido assumir a função do IAM.

A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo ou estiver especificando vários recursos, use os caracteres curingas (*) para as partes desconhecidas. Aqui estão alguns exemplos de como fazer isso para DataSync:

  • Para limitar a política de confiança a um DataSync local existente, inclua o ARN completo do local na política. DataSync assumirá a função do IAM somente ao lidar com aquele local específico.

  • Ao criar um local do Amazon S3 para DataSync, você não sabe o ARN do local. Nesses cenários, use o seguinte formato para a chave aws:SourceArn: arn:aws:datasync:us-east-2:123456789012:*. Este formato valida a partição (aws), o ID da conta e a região.

O exemplo completo a seguir mostra como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e global em uma política de confiança para evitar o problema confuso do substituto com DataSync.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Para obter mais exemplos de políticas que mostram como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e com DataSync, consulte os tópicos a seguir: