在 Amazon EKS 中預防跨服務混淆代理人 - Amazon EKS
Amazon EKS 叢集角色跨服務混淆代理人預防

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon EKS 中預防跨服務混淆代理人

混淆代理人問題是一種安全問題,其中沒有執行動作許可的實體可能會強制更特權的實體執行動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務,以使用其許可對其他客戶的資源採取動作,其不應以其他方式擁有存取許可。為了防止這種情況, AWS 提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。

我們建議在資源政策中使用 aws:SourceArnaws:SourceAccount全域條件內容索引鍵,以限制 Amazon Elastic Kubernetes Service (Amazon EKS) 為資源提供另一項服務的許可。

aws:SourceArn

使用 aws:SourceArn,僅將一個資源與跨服務存取權相關聯。

aws:SourceAccount

使用 aws:SourceAccount,讓該帳戶中的任何資源都與跨服務使用相關聯。

防範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容索引鍵,以及資源的完整 ARN。如果您不知道資源的完整 ARN 或指定多個資源,請針對 ARN 的未知部分,使用具有萬用字元 (*) 的aws:SourceArn全域內容條件索引鍵。例如 arn:aws:<servicename>:*:<123456789012>:*

如果 aws:SourceArn 值不包含帳戶 ID (例如 Amazon S3 儲存貯體 ARN),您必須同時使用 aws:SourceAccountaws:SourceArn 來限制許可。

Amazon EKS 叢集角色跨服務混淆代理人預防

每個叢集都需要 Amazon EKS 叢集 IAM 角色。由 Amazon EKS 管理的 Kubernetes 叢集會使用此角色來管理節點,而舊版雲端提供者會使用此角色來建立適用於 服務的 Elastic Load Balancing 負載平衡器。這些叢集動作只能影響相同的帳戶,因此建議您將每個叢集角色限制在該叢集和帳戶中。這是 AWS 建議遵循您帳戶中最低權限原則的特定應用程式。

來源 ARN 格式

的值aws:SourceArn必須是 EKS 叢集的 ARN,格式為 arn:aws: eks:region:account:cluster/cluster-name 。例如, arn:aws: eks:us-west-2:123456789012:cluster/my-cluster

EKS 叢集角色的信任政策格式

下列範例示範如何在 Amazon EKS 中使用 aws:SourceArnaws:SourceAccount全域條件內容金鑰,以防止混淆代理人問題。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:eks:us-west-2:123456789012:cluster/my-cluster"
          },
        "StringEquals": {
            "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}