Alias di ruolo eccessivamente permissivo - AWS IoT Device Defender
InformazioniPerché è importanteCome risolvere il problema

Alias di ruolo eccessivamente permissivo

L’alias del ruolo AWS IoT fornisce un meccanismo per i dispositivi connessi per l'autenticazione ad AWS IoT utilizzando i certificati X.509 e quindi ottenere credenziali AWS di breve durata da un ruolo IAM associato a un alias del ruolo AWS IoT. Le autorizzazioni per queste credenziali devono essere oggetto di policy di accesso con variabili di contesto di autenticazione. Se le policy non sono configurate correttamente, l'utente potrebbe essere esposto a un'escalation di attacco con privilegi. Questo controllo di audit garantisce che le policy temporanee fornite dagli alias del ruolo AWS IoT non siano eccessivamente permissive.

Questo controllo viene attivato in presenza di una delle seguenti condizioni:

  • La policy fornisce autorizzazioni amministrative a tutti i servizi utilizzati nell'anno passato da questo alias di ruolo (ad esempio "iot:*", "dynamodb:*", "iam:*" e così via).

  • La policy fornisce un ampio accesso alle operazioni dei metadati degli oggetti, l'accesso alle operazioni AWS IoT con restrizioni o un ampio accesso alle operazioni del piano dati AWS IoT.

  • La policy fornisce l'accesso ai servizi di audit della sicurezza come "iam", "cloudtrail", "guardduty", "inspector" o "trustedadvisor".

Questo controllo viene visualizzato come IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK nell’interfaccia a riga di comando e nell’API.

Gravità: Critico

Informazioni

Quando questo controllo trova una policy IoT non conforme, viene restituito il codice motivo seguente:

  • ALLOWS_BROAD_ACCESS_TO_USED_SERVICES

  • ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES

  • ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS

  • ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS

  • ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS

Perché è importante

Limitando le autorizzazioni a quelle necessarie per consentire a un dispositivo di eseguire le normali operazioni, si riducono i rischi per l'account in caso di compromissione di un dispositivo.

Come risolvere il problema

Segui queste fasi per correggere eventuali policy non conformi collegate a oggetti, gruppi di oggetti o altre entità:

  1. Segui i passaggi descritti in Autorizzazione di chiamate dirette ai servizi AWS utilizzando il provider di credenziali AWS IoT Core per applicare una policy più restrittiva all'alias del ruolo.

Puoi usare le operazioni di mitigazione per:

  • Applica l'operazione di mitigazione PUBLISH_FINDINGS_TO_SNS per implementare una risposta personalizzata al messaggio di Amazon SNS.

Per ulteriori informazioni, consultare Operazioni di mitigazione.