Prevenzione del confused deputy tra servizi - Fleet Hub per AWS IoT Gestione dei dispositivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del confused deputy tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. In AWS, l'impersonificazione tra servizi può portare alla confusione del problema del sostituto. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni alle risorse che Fleet Hub fornisce ad altri servizi. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l’account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la chiave di contesto della condizione aws:SourceArn globale con l'Amazon Resource Name (ARN) completo della risorsa. Per Fleet Hub, il tuo aws:SourceArn deve soddisfare il formato arn:aws:iot:region:account-id:*. Assicurati che region corrisponde alla tua regione Fleet Hub e al account-id corrisponde all'ID del tuo account cliente.

L'esempio seguente mostra come prevenire il problema del "confused deputy" le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nella policy di attendibilità dei ruoli Fleet Hub. Per trovare il tuo ruolo in Fleet HubARN, vai alla sezione Fleet Hub nel AWS IoT consolate e selezionate la vostra applicazione Fleet Hub per visualizzare la pagina dei dettagli dell'applicazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleethub.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:iot:us-east-1:123456789012:*"
        }
      }
    }
  ]
}