Serviceübergreifende Confused-Deputy-Prävention - Amazon Nimble Studio

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Confused-Deputy-Prävention

Das Problem mit verwirrten Stellvertretern ist ein Sicherheitsproblem, bei dem eine Entität, die nicht berechtigt ist, eine Aktion auszuführen, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. In AWS, ein dienststellenübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden in einer Weise zu agieren, für die er sonst keine Zugriffsberechtigung hätte. Um dies zu verhindern, AWS stellt Tools bereit, die Ihnen helfen, Ihre Daten für alle Dienste mit Service Principals zu schützen, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen, die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Nimble Studio durch Identity and Access Management (IAM) für den Zugriff auf Ihre Ressourcen gewährt. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der aws:SourceAccount Wert und das Konto im aws:SourceArn Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.

Der Wert von aws:SourceArn muss dem Studio entsprechen ARN und aws:SourceAccount muss Ihrer Konto-ID entsprechen. Sie werden nicht wissen, wie die Studio-ID lautet, bis das Studio erstellt wurde, da es von Nimble Studio generiert wurde. Sobald Ihr Studio erstellt ist, können Sie die Vertrauensrichtlinie so aktualisieren, dass die endgültige Studio-ID als festgelegt ist. aws:SourceArn

Der effektivste Weg, sich vor dem Problem mit dem verwirrten Deputy zu schützen, besteht darin, den aws:SourceArn globalen Condition-Kontextschlüssel mit ARN der gesamten Ressource zu verwenden. Wenn Sie die gesamte ARN Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Kontextbedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile von. ARN Beispiel, arn:aws:nimble::123456789012:*.

Ihre Endbenutzer nehmen Ihre Studio-Rolle an, wenn sie sich beim Nimble Studio-Portal anmelden. Wenn Sie Ihr Studio erstellen, AWS konfiguriert die Rolle und bewertet die Richtlinie. AWS bewertet die Richtlinie jedes Mal, wenn sich einer Ihrer Benutzer beim Nimble Studio-Portal anmeldet. Wenn Sie ein Studio erstellen, können Sie das nicht ändern. aws:SourceArn Nachdem Sie mit der Erstellung Ihres Studios fertig sind, können Sie Ihr studioArn für das verwendenaws:SourceArn.

Das folgende Beispiel ist eine Richtlinie zur Übernahme einer Rolle, die zeigt, wie Sie die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globale Bedingung in Nimble Studio verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "identity.nimble.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*"
        }
      }
    }
  ]
}