Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Amazon AppStream 2.0, prevenzione dei guasti confusi su più servizi

PDF
RSS
Modalità Focus
Amazon AppStream 2.0, prevenzione dei guasti confusi su più servizi - Amazon AppStream 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione costringe un'entità con più privilegi a eseguire tale operazione. In AWS, la rappresentazione tra servizi può lasciare le risorse dell'account vulnerabili al problema "confused deputy". La rappresentazione tra servizi si verifica quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può manipolare il servizio chiamato in modo da utilizzarne le autorizzazioni per agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso, tramite il servizio stesso. Per evitare che ciò accada, AWS fornisce strumenti che ti aiutano a proteggere i tuoi dati per tutti i servizi con responsabili dei servizi che hanno accesso alle risorse del tuo account.

Consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni quando si accede a tali risorse. Le seguenti linee guida descrivono nel dettaglio i suggerimenti e i requisiti da rispettare quando utilizzi queste chiavi per proteggere le risorse:

  • Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi.

  • Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa nell'account specificato all'uso tra servizi.

  • Se il valore aws:SourceArn non contiene un ID account, devi utilizzare entrambe le chiavi di contesto delle condizioni globali (aws:SourceArn e aws:SourceAccount) per limitare le autorizzazioni.

  • Se utilizzi entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene un ID account, la chiave aws:SourceAccount deve utilizzare lo stesso ID account quando utilizzata nella stessa istruzione di policy.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non conosci l'ARN completo della risorsa, usa la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (ad esempio, *) per le parti sconosciute dell'ARN. Inoltre, puoi utilizzare un carattere jolly nell'ARN se desideri specificare più risorse. Ad esempio, puoi dare all'ARN un formato come arn:aws:servicename::region-name::your Account AWS ID:*.

Argomenti
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.