Alias de rôle trop permissif - AWS IoT Device Defender
DétailsPourquoi est-ce important ?Comment réparer

Alias de rôle trop permissif

L'alias du rôle AWS IoT fournit un mécanisme permettant aux dispositifs connectés de s'authentifier auprès de AWS IoT à l'aide de certificats X.509, puis d'obtenir des informations d'identification AWS de durée limitée à partir d'un rôle IAM associé à un alias de rôle AWS IoT. Les autorisations pour ces informations d’identification doivent être limitées à l’aide de stratégies d’accès avec des variables de contexte d’authentification. Si vos stratégies ne sont pas configurées correctement, vous risquez de vous exposer à une attaque par escalade de privilèges. Ce contrôle d’audit garantit que les informations d’identification temporaires fournies par les alias de rôle AWS IoT ne sont pas trop permissives.

Ce contrôle est déclenché si l'une des conditions suivantes est identifiée :

  • La stratégie fournit des autorisations administratives à tous les services utilisés au cours de l'année écoulée par cet alias de rôle (par exemple, « iot:* », « dynamodb:* », « iam:* », etc.).

  • La stratégie fournit un accès étendu aux actions de métadonnées d'objets, un accès aux actions AWS IoT restreintes ou un accès étendu aux actions de plan de données AWS IoT.

  • La stratégie donne accès à des services d'audit de sécurité tels que « iam », « cloudtrail », « guardduty », « inspecteur » ou « trustedadvisor ».

Cette vérification apparaît comme IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK dans la CLI et l'API.

Gravité : critique

Détails

Les codes de motif suivants sont renvoyés lorsque ce contrôle trouve une stratégie IoT non conforme :

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

Pourquoi est-ce important ?

En limitant les autorisations à celles qui sont nécessaires pour qu'un appareil puisse fonctionner normalement, vous réduisez les risques qui pèsent sur votre compte si un appareil est compromis.

Comment réparer

Suivez ces étapes pour corriger les stratégies non conformes attachées à des objets, des groupes d’objets ou d’autres entités :

  1. Suivez les étapes décrites dans Autoriser les appels directs vers les services AWS à l’aide du fournisseur d’informations d’identification AWS IoT Core pour appliquer une politique plus restrictive à votre alias de rôle.

Vous pouvez utiliser des actions d’atténuation pour effectuer les actions suivantes :

  • Appliquez l'action d'atténuation PUBLISH_FINDINGS_TO_SNS si vous souhaitez mettre en œuvre une action personnalisée pour répondre au message Amazon SNS.

Pour plus d’informations, consultez Actions d'atténuation.