Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prevenzione del confused deputy tra servizi
Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. In AWS, l'impersonificazione tra servizi può portare alla confusione del problema del sostituto. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del tuo account.
Si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn
e aws:SourceAccount
nelle policy delle risorse per limitare le autorizzazioni alle risorse che Fleet Hub fornisce ad altri servizi. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount
e l’account nel valore aws:SourceArn
devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la chiave di contesto della condizione aws:SourceArn
globale con l'Amazon Resource Name (ARN) completo della risorsa. Per Fleet Hub, il tuo aws:SourceArn
deve soddisfare il formato arn:aws:iot:
. Assicurati che region
:account-id
:*region
corrisponde alla tua regione Fleet Hub e al account-id
corrisponde all'ID del tuo account cliente.
L'esempio seguente mostra come prevenire il problema del "confused deputy" le chiavi di contesto delle condizioni globali aws:SourceArn
e aws:SourceAccount
nella policy di attendibilità dei ruoli Fleet Hub. Per trovare il tuo ruolo in Fleet HubARN, vai alla sezione Fleet Hub nel AWS IoT consolate e selezionate la vostra applicazione Fleet Hub per visualizzare la pagina dei dettagli dell'applicazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "iotfleethub.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
123456789012
" }, "ArnLike": { "aws:SourceArn": "arn:aws:iot:us-east-1
:123456789012
:*" } } } ] }