Prevenzione intersettoriale confusa in Incident Manager

Il problema dell'assistente confuso è un problema di sicurezza delle informazioni che si verifica quando un'entità senza l'autorizzazione a eseguire un'azione chiama un'entità con più privilegi a eseguire l'azione. Ciò può consentire ai malintenzionati di eseguire comandi o modificare risorse che altrimenti non avrebbero l'autorizzazione a eseguire o a cui non avrebbero accesso.

In effetti AWS, l'impersonificazione tra diversi servizi può portare a uno scenario sostitutivo confuso. L'impersonificazione tra servizi si verifica quando un servizio (il servizio chiamante) chiama un altro servizio (il servizio chiamato). Un malintenzionato può utilizzare il servizio di chiamata per modificare le risorse di un altro servizio utilizzando autorizzazioni che normalmente non avrebbe.

AWS fornisce ai responsabili del servizio l'accesso gestito alle risorse del vostro account per aiutarvi a proteggere la sicurezza delle vostre risorse. Ti consigliamo di utilizzare le aws:SourceArnchiavi di contesto della condizione aws:SourceAccountglobale nelle politiche relative alle risorse. Queste chiavi limitano le autorizzazioni che AWS Systems Manager Incident Manager forniscono un altro servizio a quella risorsa. Se si utilizzano entrambe le chiavi di contesto della condizione globale, il aws:SourceAccount valore e l'account a cui si fa riferimento nel aws:SourceArn valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.

Il valore di aws:SourceArn deve essere il record ARN dell'incidente interessato. Se non conosci l'intera ARN risorsa o se stai specificando più risorse, usa la chiave aws:SourceArn global context condition con il carattere * jolly per le parti sconosciute di. ARN Ad esempio, puoi impostare suaws:SourceArn. arn:aws:ssm-incidents::111122223333:*

Nel seguente esempio di politica di fiducia, utilizziamo la chiave di aws:SourceArn condizione per limitare l'accesso al ruolo di servizio in base al record dell'incidenteARN. Solo i record degli incidenti creati dal piano myresponseplan di risposta possono utilizzare questo ruolo.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "ssm-incidents.amazonaws.com" },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*"
      }
    }
  }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su risorse

Uso di ruoli collegati ai servizi