Prévention du problème de l'adjoint confus entre services - AWS DataSync

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l'adjoint confus entre services

Le problème de l'adjoint confus est un problème de sécurité dans lequel une entité qui n'a pas l'autorisation d'effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. Dans AWS, l'emprunt d'identité entre services peut entraîner le problème de député confus. L'usurpation d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d'un autre client auxquelles on ne serait pas autorisé d'accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.

Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources afin de limiter les autorisations à la ressource octroyées par AWS DataSync à un autre service. Si vous utilisez les deux clés de contexte de condition globale et que la valeur aws:SourceArn contient l'ID de compte, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez aws:SourceArn si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utiliseraws:SourceAccountsi vous souhaitez qu'une ressource de ce compte soit associée à l'utilisation entre services.

Pouraws:SourceArndoit inclure le DataSync ARN de l'emplacement avec lequel DataSync est autorisé à assumer le rôle IAM.

Le moyen le plus efficace de se protéger contre le problème du député confus consiste à utiliser leaws:SourceArnclé avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs ressources, utilisez des caractères génériques (*) pour les portions inconnues. Voici quelques exemples de la façon de procéder pour DataSync :

  • Pour limiter la politique de confiance à un DataSync location, incluez l'ARN de l'emplacement complet dans la stratégie. DataSync n'assumera le rôle IAM que lorsqu'il s'agit de cet emplacement particulier.

  • Lors de la création d'un emplacement Amazon S3 pour DataSync, vous ne connaissez pas l'ARN de l'emplacement. Dans ces scénarios, utilisez le format suivant pour leaws:SourceArnclé : arn:aws:datasync:us-east-2:123456789012:*. Ce format valide la partition (aws), l'identifiant du compte et la région.

L'exemple complet suivant montre comment utiliser leaws:SourceArnetaws:SourceAccountClés de contexte de condition globales dans pour éviter le problème de député confus avec DataSync.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

Pour obtenir un exemple de stratégie qui montre comment utiliser leaws:SourceArnetaws:SourceAccountClés de contexte de condition globales avec DataSync, consultez les rubriques suivantes :