Amazon Managed Service for Prometheus die Erlaubnis erteilen, Warnmeldungen zu Ihrem Amazon SNS SNS-Thema zu senden - Amazon Managed Service für Prometheus
Serviceübergreifende Confused-Deputy-Prävention

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Managed Service for Prometheus die Erlaubnis erteilen, Warnmeldungen zu Ihrem Amazon SNS SNS-Thema zu senden

Sie müssen Amazon Managed Service für Prometheus die Erlaubnis erteilen, Nachrichten an Ihr Amazon-SNS-Thema zu senden. In der folgenden Grundsatzerklärung wird diese Genehmigung erteilt. Sie enthält eine Condition Erklärung zur Vermeidung eines Sicherheitsproblems, dem sogenannten Confused Deputy Problem. Die Condition-Anweisung schränkt den Zugriff auf das Amazon-SNS-Thema so ein, dass nur Vorgänge zugelassen werden, die von diesem bestimmten Konto und Workspace in Amazon Managed Service für Prometheus stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie Serviceübergreifende Confused-Deputy-Prävention.

Amazon Managed Service für Prometheus die Erlaubnis erteilen, Nachrichten an Ihr Amazon-SNS-Thema zu senden

  1. Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

  2. Wählen Sie im Navigationsbereich Themen aus.

  3. Wählen Sie den Namen des Themas, das Sie mit Amazon Managed Service für Prometheus verwenden.

  4. Wählen Sie Bearbeiten aus.

  5. Wählen Sie Zugriffsrichtlinie und fügen Sie der vorhandenen Richtlinie die folgende Richtlinienanweisung hinzu.

    {
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

    [Optional] Wenn für Ihr Amazon SNS SNS-Thema Service Side Encryption (SSE) aktiviert ist, müssen Sie Amazon Managed Service for Prometheus erlauben, Nachrichten an dieses verschlüsselte Thema zu senden, indem Sie die kms:Decrypt Berechtigungen kms:GenerateDataKey* und zur AWS KMS Schlüsselrichtlinie des Schlüssels hinzufügen, der zur Verschlüsselung des Themas verwendet wird.

    Sie könnten der Richtlinie beispielsweise Folgendes hinzufügen:

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "aps.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}

    Weitere Informationen finden Sie unter AWS KMS-Berechtigungen für SNS-Themen.

  6. Wählen Sie Änderungen speichern aus.

Anmerkung

Standardmäßig erstellt Amazon SNS die Zugriffsrichtlinie mit Bedingung für AWS:SourceOwner. Weitere Informationen finden Sie unter SNS-Zugriffrichtlinie.

Anmerkung

IAM folgt der Regel Richtlinie zuerst mit den meisten Einschränkungen. Wenn es in Ihrem SNS-Thema einen Richtlinienblock gibt, der restriktiver ist als der dokumentierte Amazon-SNS-Richtlinienblock, wird die Genehmigung für die Themenrichtlinie nicht erteilt. Um Ihre Richtlinie zu bewerten und herauszufinden, was gewährt wurde, finden Sie unter Bewertungslogik für Richtlinien.

Serviceübergreifende Confused-Deputy-Prävention

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in ressourcenbasierten Richtlinien, um die Berechtigungen, die Amazon Managed Service für Prometheus Amazon SNS erteilt, auf eine bestimmte Ressource zu beschränken. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der aws:SourceAccount-Wert und das Konto im aws:SourceArn-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Der Wert von aws:SourceArn muss der ARN des Workspace in Amazon Managed Service für Prometheus sein.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel aws:SourceArn mit Platzhaltern (*) für die unbekannten Teile des ARN. z. B. arn:aws:servicename::123456789012:*.

Das folgende Beispiel in Amazon Managed Service for Prometheus die Erlaubnis erteilen, Warnmeldungen zu Ihrem Amazon SNS SNS-Thema zu senden zeigt, wie Sie die globalen Bedingungskontext-Schlüssel aws:SourceArn und aws:SourceAccount in Amazon Managed Service für Prometheus verwenden können, um das Problem des Confused Deputys zu vermeiden.