Prévention du cas de figure de l’adjoint désorienté entre services

Autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS

Vous devez autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS. La déclaration de politique suivante inclut une instruction Condition visant à prévenir le problème de sécurité de l’adjoint confus. L’instruction Condition restreint l’accès à la rubrique Amazon SNS pour autoriser uniquement les opérations provenant de ce compte spécifique et de l’espace de travail Amazon Managed Service for Prometheus. Pour de plus amples informations sur le problème de l’adjoint confus, veuillez consulter Prévention du cas de figure de l’adjoint désorienté entre services.

Pour autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS

Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.
Dans le volet de navigation, choisissez Rubriques.
Choisissez le nom de la rubrique que vous utilisez avec Amazon Managed Service for Prometheus.
Choisissez Modifier.

Choisissez Stratégie d’accès et ajoutez l’instruction de stratégie suivante à la stratégie existante.


{
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

[Facultatif] Si votre rubrique SNS est compatible avec le chiffrement côté service (SSE), vous devez ajouter les autorisations suivantes à votre stratégie de clé KMS dans le bloc "Action". Pour plus d’informations, veuillez consulter la section AWS Autorisations KMS pour SNS.


    kms:GenerateDataKey
    kms:Decrypt

Sélectionnez Enregistrer les modifications.

Note

Par défaut, Amazon SNS crée la stratégie d’accès avec la condition AWS:SourceOwner. Pour plus d’informations, veuillez consulter la section SNS Access Policy.

Note

IAM suit la règle de la stratégie la plus restrictive en premier. Dans votre rubrique SNS, s’il existe un bloc de stratégie plus restrictif que le bloc de stratégie Amazon SNS documenté, l’autorisation pour la stratégie de la rubrique n’est pas accordée. Pour évaluer votre stratégie et savoir ce qui a été accordé, consultez la section Logique d’évaluation de stratégies.

Prévention du cas de figure de l’adjoint désorienté entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous vous recommandons d’utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources afin de limiter les autorisations accordées à la ressource par Amazon Managed Service for Promotheus. Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

La valeur de aws:SourceArn doit être l’ARN de l’espace de travail Amazon Managed Service for Prometheus.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple, arn:aws:servicename::123456789012:*.

La stratégie présentée à la section Autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS montre comment utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans Amazon Managed Service for Prometheus afin d’éviter le problème de l’adjoint confus.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

(Facultatif) Création d’une rubrique Amazon SNS

Spécification de votre rubrique Amazon SNS dans le fichier de configuration du gestionnaire d’alertes