Prévention du député confus - Amazon CloudWatch Logs

Prévention du député confus

Le problème de l'adjoint confus est un problème de sécurité dans lequel une entité qui n'a pas l'autorisation d'effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. Dans AWS, l'emprunt d'identité entre services peut entraîner le problème de député confus. L'usurpation d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d'un autre client auxquelles on ne serait pas autorisé d'accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn ou aws:SourceAccount dans les politiques de ressources pour limiter l'étendue des autorisations que vous accordez à CloudWatch Logs pour écrire des données dans Kinesis et Kinesis Data Firehose.

La valeur de aws:SourceArn doit limiter les autorisations aux comptes qui écrivent et reçoivent des données.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:servicename::123456789012:*.

Les politiques documentées pour accorder l'accès à CloudWatch Logs pour écrire des données dans Kinesis et Kinesis Data Firehose dans Créer une destination et Étape 2 : créer une destination montrent comment utiliser la clé de contexte de condition globale aws:SourceArn pour éviter le problème du député confus.