Dienstübergreifende Prävention verwirrter Stellvertreter in HealthImaging - AWS HealthImaging

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dienstübergreifende Prävention verwirrter Stellvertreter in HealthImaging

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein serviceübergreifender Identitätswechsel zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Service Principals schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen, die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobalen Bedingungsschlüssel in Ihren ImportJobDataAccessRole IAM-Richtlinien für Vertrauensbeziehungen zu verwenden, um die Berechtigungen einzuschränken, die AWS einem anderen Service für Ihre Ressource HealthImaging erteilt. Verwenden Sie aws:SourceArn, um nur einer Ressource den serviceübergreifenden Zugriff zuzuordnen. Verwenden Sie aws:SourceAccount, um jede Ressource in diesem Konto der serviceübergreifenden Nutzung zuzuordnen. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der aws:SourceAccount Wert und das Konto, auf das im aws:SourceArn Wert verwiesen wird, dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

Der Wert von aws:SourceArn muss der ARN des betroffenen Datenspeichers sein. Wenn Sie den vollständigen ARN des Datenspeichers nicht kennen oder wenn Sie mehrere Datenspeicher angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit dem Platzhalter * für die unbekannten Teile des ARN. Sie können beispielsweise festlegen aws:SourceArn aufarn:aws:medical-imaging:us-west-2:111122223333:datastore/*.

Im folgenden Beispiel für eine Vertrauensrichtlinie verwenden wir den aws:SourceAccount Bedingungsschlüssel aws:SourceArn und, um den Zugriff auf den Dienstprinzipal auf der Grundlage des ARN des Datenspeichers einzuschränken, um das Problem des verwirrten Stellvertreters zu vermeiden.

JSON
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "medical-imaging.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "ArnLike": {
                "aws:SourceArn": "arn:aws:medical-imaging:us-east-1:accountId:datastore/*"
            },
            "StringEquals": {
                "aws:SourceAccount": "accountId"
            }
        }
    }
}