Prevenção confusa de delegados entre serviços em HealthImaging - AWS HealthImaging

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção confusa de delegados entre serviços em HealthImaging

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Na AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as aws:SourceArnchaves de contexto de condição aws:SourceAccountglobal em suas políticas de relacionamento de confiança da função do ImportJobDataAccessRole IAM para limitar as permissões que a AWS HealthImaging concede a outro serviço ao seu recurso. Use aws:SourceArn se quiser associar apenas um recurso ao acesso entre serviços. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. Se você usar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta referenciada no valor aws:SourceArn deverão usar o mesmo ID de conta quando usados na mesma declaração de política.

O valor de aws:SourceArn deve ser o ARN do armazenamento de dados afetado. Se você não souber o ARN completo do armazenamento de dados ou se estiver especificando vários armazenamentos de dados, use a chave de condição de contexto aws:SourceArn global com o caractere curinga * para as partes desconhecidas do ARN. Por exemplo, você pode usar o aws:SourceArn para arn:aws:medical-imaging:us-west-2:111122223333:datastore/*.

No exemplo de política de confiança a seguir, usamos a chave de aws:SourceAccount condição aws:SourceArn e para restringir o acesso ao principal do serviço com base no ARN do armazenamento de dados para evitar o problema confuso do substituto.

JSON
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "medical-imaging.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "ArnLike": {
                "aws:SourceArn": "arn:aws:medical-imaging:us-east-1:accountId:datastore/*"
            },
            "StringEquals": {
                "aws:SourceAccount": "accountId"
            }
        }
    }
}