Prévention du problème de l’adjoint confus entre services - Amazon Chime SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l’adjoint confus entre services

Le problème des adjoints confus est un problème de sécurité de l'information qui se produit lorsqu'une entité non autorisée à effectuer une action appelle une entité plus privilégiée pour effectuer l'action. Cela peut permettre à des acteurs malveillants d'exécuter des commandes ou de modifier des ressources qu'ils n'auraient pas l'autorisation d'exécuter ou d'accéder autrement. Pour plus d'informations, consultez la section Le problème de confusion des adjoints dans le guide de AWS Identity and Access Management l'utilisateur.

Dans AWS, l'usurpation d'identité interservices peut mener à un scénario d'adjoint confus. L'usurpation d'identité entre services se produit lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Un acteur malveillant peut utiliser le service d'appel pour modifier les ressources d'un autre service en utilisant des autorisations qu'il n'aurait pas normalement obtenues.

AWS fournit aux responsables du service un accès géré aux ressources de votre compte afin de vous aider à protéger la sécurité de vos ressources. Nous vous recommandons d'utiliser la clé de contexte des conditions aws:SourceAccount globales dans vos politiques de ressources. Ces clés limitent les autorisations qu'Amazon Chime SDK accorde à un autre service pour cette ressource.

L'exemple suivant montre une politique de compartiment S3 qui utilise la clé de contexte de condition aws:SourceAccount globale dans le compartiment CallDetailRecords S3 configuré pour éviter le problème de confusion des adjoints.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}