Prévention du problème de l'adjoint confus entre services - Amazon Nimble Studio

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prévention du problème de l'adjoint confus entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n'est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. Dans l’interface AWS, l'usurpation d'identité entre services peut entraîner le problème de l'adjoint confus. L'usurpation d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d'un autre client auxquelles on ne serait pas autorisé d'accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.

Nous vous recommandons d'utiliseraws:SourceArnetaws:SourceAccountclés de contexte de condition globales dans les stratégies de ressources afin de limiter les autorisations que Identity and Access Management (IAM) accorde à Amazon Nimble Studio pour accéder à vos ressources. Si vous utilisez les deux clés de contexte de condition globale, leaws:SourceAccountvaleur et le compte dans leaws:SourceArnvalue doit utiliser le même ID de compte lorsqu'elle est utilisée dans la même déclaration de stratégie.

Pouraws:SourceArndoit être l'ARN du studio etaws:SourceAccountdoit être votre id de compte. Vous ne saurez pas quel est l'identifiant du studio tant que le studio n'est pas créé, car il est généré par Nimble Studio. Une fois votre studio créé, vous pouvez mettre à jour la politique de confiance avec l'identifiant final du studio défini commeaws:SourceArn.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez laaws:SourceArnclé de contexte de condition globale avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:nimble::123456789012:*.

Vos utilisateurs finaux assument votre rôle de studio lorsqu'ils se connectent au portail Nimble Studio. Lorsque vous créez votre studio,AWSconfigure le rôle et évalue la stratégie.AWSévalue la politique chaque fois qu'un de vos utilisateurs se connecte au portail Nimble Studio. Lorsque vous créez un studio, vous ne pouvez pas modifier leaws:SourceArn. Une fois que vous avez fini de créer votre studio, vous pouvez utiliser votre StudioARN pouraws:SourceArn.

L'exemple suivant est une stratégie d'acceptation de rôle qui montre comment vous pouvez utiliser la stratégieaws:SourceArnetaws:SourceAccountclés de contexte de condition globale dans Nimble Studio pour éviter le problème de sous-traitant confus.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "identity.nimble.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*"
        }
      }
    }
  ]
}