Prevenção contra o ataque do “substituto confuso” em todos os serviços - AWS DataSync

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção contra o ataque do “substituto confuso” em todos os serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccountglobal aws:SourceArne as chaves de contexto nas políticas de recursos para limitar as permissões que AWS DataSync concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global e o valor de aws:SourceArn contiver o ID da conta, o valor de aws:SourceAccount e a conta no valor de aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política. Use aws:SourceArn se quiser que apenas um recurso seja associado ao acesso entre serviços. Use aws:SourceAccount se quiser que qualquer recurso nessa conta seja associado ao uso entre serviços.

O valor de aws:SourceArn deve incluir o ARN do DataSync local com o qual DataSync é permitido assumir a função do IAM.

A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo ou estiver especificando vários recursos, use os caracteres curingas (*) para as partes desconhecidas. Aqui estão alguns exemplos de como fazer isso para DataSync:

  • Para limitar a política de confiança a um DataSync local existente, inclua o ARN completo do local na política. DataSync assumirá a função do IAM somente ao lidar com aquele local específico.

  • Ao criar um local do Amazon S3 para DataSync, você não sabe o ARN do local. Nesses cenários, use o seguinte formato para a chave aws:SourceArn: arn:aws:datasync:us-east-2:123456789012:*. Este formato valida a partição (aws), o ID da conta e a região.

O exemplo completo a seguir mostra como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e as chaves de contexto em uma política de confiança para evitar o problema confuso do substituto com DataSync.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Para obter mais exemplos de políticas que mostram como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e com DataSync, consulte os tópicos a seguir: