Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità maggiormente privilegiata a eseguire l'azione. Inoltre AWS, l'impersonificazione tra servizi può causare il confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce alcuni strumenti che consentono di proteggere i dati per tutti i servizi che dispongono di principali del servizio a cui è stato consentito l'accesso alle risorse del tuo account.
Per limitare le autorizzazioni che AWS IoT assegnano un altro servizio alla risorsa, consigliamo di utilizzare le chiavi di contesto aws:SourceArn
e le chiavi di contesto della condizione aws:SourceAccount
globale nelle politiche delle risorse. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount
e l’account nel valore aws:SourceArn
devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn
con l'Amazon Resource Name (ARN) completo della risorsa. Perché AWS IoT, aws:SourceArn
devi rispettare il formato:arn:aws:iot:
. Assicurati che la region
:account-id
:*regione
corrisponda alla tua AWS IoT regione e che l'ID account corrisponda all'ID
del tuo account cliente.
L'esempio seguente mostra come prevenire il problema confuso del vicesceriffo utilizzando le chiavi del contesto aws:SourceArn
e della condizione aws:SourceAccount
globale nella politica di fiducia dei AWS IoT ruoli.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
123456789012
" }, "ArnLike": { "aws:SourceArn": "arn:aws:iot:us-east-1
:123456789012
:*" } } } ] }