Prevención de la sustitución confusa entre servicios - Managed Service para Apache Flink

Amazon Managed Service para Apache Flink Amazon se denominaba anteriormente Amazon Kinesis Data Analytics para Apache Flink.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prevención de la sustitución confusa entre servicios

En AWS, la suplantación de identidad entre servicios puede producirse cuando un servicio (el servicio de llamadas) llama a otro servicio (el servicio llamado). El servicio que lleva a cabo las llamadas se puede manipular para actuar en función de los recursos de otro cliente a pesar de que no debe tener los permisos adecuados, lo que da como resultado un problema de suplente confuso.

Para evitar que los agentes confusos, AWS proporciona herramientas que lo ayudan a proteger sus datos en todos los servicios utilizando los directores de servicio a los que se les ha dado acceso a los recursos de su cuenta. Esta sección se centra en la prevención de problemas de policía confusa entre servicios, específica de Managed Service para Apache Flink. Sin embargo, puede obtener más información sobre este tema en la sección El problema de los diputados confusos de la Guía del IAM usuario.

En el contexto del servicio gestionado para Apache Flink, le recomendamos que utilice las claves de contexto aws: SourceArn y aws: SourceAccount global condition en su política de confianza de roles para limitar el acceso al rol únicamente a las solicitudes generadas por los recursos esperados.

Utilice aws:SourceArn si desea que solo se asocie un recurso al acceso entre servicios. Utilice aws:SourceAccount si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.

El valor de aws:SourceArn debe ser el ARN del recurso utilizado por Managed Service for Apache Flink, que se especifica con el siguiente formato:. arn:aws:kinesisanalytics:region:account:resource

El enfoque recomendado para el confuso problema de los diputados es utilizar la clave de contexto de la condición aws:SourceArn global con todo el recursoARN.

Si no conoce la totalidad ARN del recurso o si está especificando varios recursos, utilice la aws:SourceArn clave con caracteres comodín (*) para las partes desconocidas del ARN recurso. Por ejemplo: arn:aws:kinesisanalytics::111122223333:*.

Las políticas de roles que proporcione a Managed Service para Apache Flink, así como las políticas de confianza de los roles generados para usted, pueden utilizar estas claves.

Para protegerse contra el problema de suplente confuso, lleve a cabo los siguientes pasos:

Cómo protegerse contra el problema del suplente confuso

  1. Inicie sesión en la consola AWS de administración y abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. Elija Roles y, a continuación, seleccione el rol que desee modificar.

  3. Elija Editar la política de confianza.

  4. En la página Editar política de confianza, sustituya la JSON política predeterminada por una política que utilice una o ambas claves de aws:SourceArn contexto de condición aws:SourceAccount global. Consulte el siguiente ejemplo de política:

  5. Elija Actualizar política.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"kinesisanalytics.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"Account ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
            }
         }
      }
   ]
}