Prévention du problème de l'adjoint confus entre services

Le problème de l'adjoint confus est un problème de sécurité dans lequel une entité qui n'a pas l'autorisation d'effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. Dans AWS, l'emprunt d'identité entre services peut entraîner le problème de député confus. L'usurpation d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d'un autre client auxquelles on ne serait pas autorisé d'accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources afin de limiter les autorisations à la ressource octroyées par AWS DataSync à un autre service. Si vous utilisez les deux clés de contexte de condition globale et que la valeur aws:SourceArn contient l'ID de compte, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisezaws:SourceAccount si vous souhaitez qu'une ressource de ce compte soit associée à l'utilisation entre services.

La valeur deaws:SourceArn doit inclure l'ARN d' DataSync emplacement avec lequel DataSync il est autorisé à assumer le rôle IAM.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser laaws:SourceArn clé avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs ressources, utilisez des caractères génériques (*) pour les parties inconnues. Voici des exemples de la façon de procéder pour DataSync :

Pour limiter la politique de confiance à un DataSync emplacement existant, incluez l'ARN de localisation complet dans la politique. DataSync assumera le rôle IAM uniquement lorsqu'il s'agit de cet emplacement particulier.
Lorsque vous créez un emplacement Amazon S3 pour DataSync, vous ne connaissez pas l'ARN de l'emplacement. Dans ces scénarios, utilisez le format suivant pour laaws:SourceArn clé : arn:aws:datasync:us-east-2:123456789012:*. Ce format valide la partition (aws), l'ID de compte et la région.

L'exemple complet suivant montre comment utiliser les clés de contexteaws:SourceArn de conditionaws:SourceAccount globale dans une politique d'approbation afin d'éviter le problème de député confus avec DataSync.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Pour plus d'exemples de politiques qui montrent comment utiliser les clés de contexte conditionnellesaws:SourceArn etaws:SourceAccount globales avec DataSync, consultez les rubriques suivantes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Balisage des ressources pendant la création

Référence des autorisations d'API