本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
預防跨服務混淆代理人
重要
終止支援通知:現有客戶將可以使用 Amazon QLDB,直到 07/31/2025 終止支援為止。如需詳細資訊,請參閱將 Amazon QLDB Ledger 遷移至 Amazon Aurora PostgreSQL
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。
在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了避免混淆代理人問題, AWS 提供工具,協助您使用已授予您帳戶中資源存取權的服務主體來保護所有 服務的資料。
我們建議在資源政策中使用 aws:SourceArn和 aws:SourceAccount全域條件內容金鑰,以限制 Amazon QLDB 為資源提供其他服務的許可。如果您同時使用兩個全域條件內容索引鍵,值中的 aws:SourceAccount 值和帳戶在相同政策陳述式中使用時aws:SourceArn,必須使用相同的帳戶 ID。
下表列出 ExportJournalToS3和 StreamsJournalToKinesis QLDB API 操作aws:SourceArn的可能值。這些操作在此安全問題的範圍內,因為它們呼叫 AWS Security Token Service (AWS STS) 以擔任您指定的 IAM 角色。
| API 操作 | 呼叫的服務 | aws:SourceArn |
|---|---|---|
ExportJournalToS3 |
AWS STS (AssumeRole) |
允許 QLDB 擔任帳戶中任何 QLDB 資源的角色:
目前,QLDB 僅支援日誌匯出的此萬用字元 ARN。 |
StreamsJournalToKinesis |
AWS STS (AssumeRole) |
允許 QLDB 擔任特定 QLDB 串流的角色:
注意:您只能在建立串流資源之後,在 ARN 中指定串流 ID。使用此 ARN,您可以允許角色僅用於單一 QLDB 串流。 允許 QLDB 擔任總帳任何 QLDB 串流的角色:
允許 QLDB 擔任帳戶中任何 QLDB 串流的角色:
允許 QLDB 擔任帳戶中任何 QLDB 資源的角色:
|
防範混淆代理人問題的最有效方法是使用 aws:SourceArn 全域條件內容索引鍵,以及資源的完整 ARN。如果您不知道資源的完整 ARN 或指定多個資源,請使用aws:SourceArn全域內容條件索引鍵搭配萬用字元 (*) 表示 ARN 的未知部分,例如 arn:aws:qldb:us-east-1:。123456789012:*
IAM 角色的下列信任政策範例顯示如何使用 aws:SourceArn和 aws:SourceAccount全域條件內容索引鍵,以防止混淆代理人問題。使用此信任政策,QLDB 只能擔任總帳帳戶中任何 QLDB 123456789012 串流的角色myExampleLedger。
若要使用此政策,請將範例中的 us-east-1、123456789012 和 myExampleLedger 取代為您自己的資訊。
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "qldb.amazonaws.com" }, "Action": [ "sts:AssumeRole" ], "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:qldb:us-east-1:123456789012:stream/myExampleLedger/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
