Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Serviceübergreifende Confused-Deputy-Prävention
Das Problem mit verwirrten Stellvertretern ist ein Sicherheitsproblem, bei dem eine Entität, die nicht berechtigt ist, eine Aktion auszuführen, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. In AWS, ein dienststellenübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden in einer Weise zu agieren, für die er sonst keine Zugriffsberechtigung hätte. Um dies zu verhindern, AWS stellt Tools bereit, die Ihnen helfen, Ihre Daten für alle Dienste mit Service Principals zu schützen, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel aws:SourceArn
und die aws:SourceAccount
globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Nimble Studio durch Identity and Access Management (IAM) für den Zugriff auf Ihre Ressourcen gewährt. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der aws:SourceAccount
Wert und das Konto im aws:SourceArn
Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden.
Der Wert von aws:SourceArn
muss dem Studio entsprechen ARN und aws:SourceAccount
muss Ihrer Konto-ID entsprechen. Sie werden nicht wissen, wie die Studio-ID lautet, bis das Studio erstellt wurde, da es von Nimble Studio generiert wurde. Sobald Ihr Studio erstellt ist, können Sie die Vertrauensrichtlinie so aktualisieren, dass die endgültige Studio-ID als festgelegt ist. aws:SourceArn
Der effektivste Weg, sich vor dem Problem mit dem verwirrten Deputy zu schützen, besteht darin, den aws:SourceArn
globalen Condition-Kontextschlüssel mit ARN der gesamten Ressource zu verwenden. Wenn Sie die gesamte ARN Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn
globalen Kontextbedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile von. ARN Beispiel, arn:aws:nimble::123456789012:*
.
Ihre Endbenutzer nehmen Ihre Studio-Rolle an, wenn sie sich beim Nimble Studio-Portal anmelden. Wenn Sie Ihr Studio erstellen, AWS konfiguriert die Rolle und bewertet die Richtlinie. AWS bewertet die Richtlinie jedes Mal, wenn sich einer Ihrer Benutzer beim Nimble Studio-Portal anmeldet. Wenn Sie ein Studio erstellen, können Sie das nicht ändern. aws:SourceArn
Nachdem Sie mit der Erstellung Ihres Studios fertig sind, können Sie Ihr studioArn für das verwendenaws:SourceArn
.
Das folgende Beispiel ist eine Richtlinie zur Übernahme einer Rolle, die zeigt, wie Sie die Kontextschlüssel aws:SourceArn
und die aws:SourceAccount
globale Bedingung in Nimble Studio verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "identity.nimble.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*" } } } ] }