L'alias del ruolo consente l'accesso a servizi inutilizzati - AWS IoT Device Defender
InformazioniPerché è importanteCome risolvere il problema

L'alias del ruolo consente l'accesso a servizi inutilizzati

L’alias del ruolo AWS IoT fornisce un meccanismo per i dispositivi connessi per l'autenticazione a AWS IoT utilizzando i certificati X.509 e quindi ottenere credenziali AWS di breve durata da un ruolo IAM associato a un alias del ruolo AWS IoT. Le autorizzazioni per queste credenziali devono essere oggetto di policy di accesso con variabili di contesto di autenticazione. Se le policy non sono configurate correttamente, l'utente potrebbe essere esposto a un'escalation di attacco con privilegi. Questo controllo di audit garantisce che le policy temporanee fornite dagli alias del ruolo AWS IoT non siano eccessivamente permissive.

Questo controllo viene attivato se l'alias del ruolo ha accesso a servizi che non sono stati utilizzati per il dispositivo AWS IoT nell'ultimo anno. Ad esempio, l’audit segnala se si dispone di un ruolo IAM collegato all'alias del ruolo che ha utilizzato solo AWS IoT nell'anno precedente, ma la policy allegata al ruolo concede anche l'autorizzazione a "iam:getRole" e "dynamodb:PutItem".

Questo controllo viene visualizzato come IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK nell’interfaccia a riga di comando e nell’API.

Gravità: Medium (media)

Informazioni

Quando questo controllo trova una policy AWS IoT non conforme, vengono restituiti i codici motivo seguenti:

  • ALLOWS_ACCESS_TO_UNUSED_SERVICES

Perché è importante

Limitando le autorizzazioni ai servizi necessari per consentire a un dispositivo per eseguire le normali operazioni, si riducono i rischi per l'account in caso di compromissione di un dispositivo.

Come risolvere il problema

Segui queste fasi per correggere eventuali policy non conformi collegate a oggetti, gruppi di oggetti o altre entità:

  1. Segui i passaggi descritti in Autorizzazione di chiamate dirette ai servizi AWS utilizzando il provider di credenziali AWS IoT Core per applicare una policy più restrittiva all'alias del ruolo.

Puoi usare le operazioni di mitigazione per:

  • Applica l'operazione di mitigazione PUBLISH_FINDINGS_TO_SNS per implementare una risposta personalizzata al messaggio di Amazon SNS.

Per ulteriori informazioni, consultare Operazioni di mitigazione.