View a markdown version of this page

Prevenzione del problema "confused deputy" tra servizi - Amazon Nimble Studio

Avviso di fine del supporto: il 22 ottobre 2024, il supporto per Amazon Nimble Studio AWS verrà interrotto. Dopo il 22 ottobre 2024, non potrai più accedere alla console Nimble Studio o alle risorse di Nimble Studio.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Il problema della confusione degli agenti delegati è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità con maggiori privilegi a eseguire l'azione. In effetti AWS, l'impersonificazione tra diversi servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio di chiamata può essere manipolato in modo da utilizzare le sue autorizzazioni per agire sulle risorse di un altro cliente in un modo a cui altrimenti non dovrebbe avere l'autorizzazione di accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare le chiavi contestuali aws:SourceArn e le condizioni aws:SourceAccount globali nelle politiche delle risorse per limitare le autorizzazioni che Identity and Access Management (IAM) concede ad Amazon Nimble Studio per accedere alle tue risorse. Se utilizzi entrambe le chiavi di contesto della condizione globale, il aws:SourceAccount valore e l'account nel aws:SourceArn valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica.

Il valore di aws:SourceArn deve essere l'ARN dello studio e aws:SourceAccount deve essere l'ID del tuo account. Non saprai cos'è l'ID dello studio finché non verrà creato lo studio, perché è generato da Nimble Studio. Una volta creato lo studio, puoi aggiornare la politica di fiducia con l'ID dello studio finale impostato come. aws:SourceArn

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArncon l'ARN completo della risorsa. Se non conosci l'ARN completo della risorsa o se stai specificando più risorse, usa la chiave di condizione di contesto aws:SourceArn globale con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio arn:aws:nimble::123456789012:*.

I tuoi utenti finali assumono il tuo ruolo di studio quando accedono al portale Nimble Studio. Quando crei il tuo studio, AWS configura il ruolo e valuta la politica. AWS valuta la policy ogni volta che uno dei tuoi utenti accede al portale Nimble Studio. Quando crei uno studio, non puoi modificare il. aws:SourceArn Dopo aver finito di creare il tuo studio, puoi usare StudioARN per. aws:SourceArn

L'esempio seguente è una politica relativa all'assunzione del ruolo che mostra come utilizzare le chiavi di contesto aws:SourceArn e di contesto della condizione aws:SourceAccount globale in Nimble Studio per evitare il confuso problema del vice.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "identity.nimble.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*"
        }
      }
    }
  ]
}