Dienstübergreifende Confused-Deputy-Prävention - AWS Panorama

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dienstübergreifende Confused-Deputy-Prävention

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann der dienstübergreifende Identitätswechsel zu Confused-Deputy-Problem führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der aufrufende Service) einen anderen Service aufruft (der aufgerufene Service). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.

Wir empfehlen die Verwendung der globalen Bedingungskontext-Schlüsseln aws:SourceArn und aws:SourceAccount in ressourcenbasierten Richtlinien, um die Berechtigungen, die AWS Panorama einem anderen Service erteilt, auf eine bestimmte Ressource zu beschränken. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der aws:SourceAccount-Wert und das Konto im aws:SourceArn-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Der Wert vonaws:SourceArnmuss der ARN einesAWS Panorama-Gerät.

Der effektivste Weg, um sich vor dem verwirrten Stellvertreterproblem zu schützen, ist die Verwendung desaws:SourceArnglobaler Kontextschlüssel mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht wissen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie denaws:SourceArnglobaler Kontextbedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile des ARN. Zum Beispiel, arn:aws:servicename::123456789012:*.

Anweisungen zum Sichern der Servicerolle, dieAWS Panoramaverwendet, um die Erlaubnis zu erteilenAWS PanoramaAppliance, sieheAbsichern der Appliance-Rolleaus.