Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità dotata di privilegi maggiori a eseguire l'azione. Nel frattempo AWS, l'impersonificazione tra servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.
Si consiglia di utilizzare le aws:SourceArnchiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che il AWS Parallel Computing Service (AWS PCS) concede a un altro servizio alla risorsa. Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArncon l'ARN completo della risorsa. Se non conosci l'ARN completo della risorsa o scegli più risorse, utilizza la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:. servicename:*:123456789012:*
Se il valore aws:SourceArn non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
Il valore di aws:SourceArn deve essere un ARN del cluster.
L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition in AWS PCS per prevenire il confuso problema del vice.
{
"Version": "2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "pcs.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:pcs:us-east-1:123456789012:cluster/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
Ruolo IAM per EC2 le istanze Amazon fornite come parte di un gruppo di nodi di calcolo
AWS PCS orchestra automaticamente la EC2 capacità di Amazon per ciascuno dei gruppi di nodi di calcolo configurati in un cluster. Quando creano un gruppo di nodi di calcolo, gli utenti devono fornire un profilo di istanza IAM tramite il campo. iamInstanceProfileArn Il profilo dell'istanza specifica le autorizzazioni associate alle istanze assegnate. EC2 AWS PCS accetta qualsiasi ruolo che abbia AWSPCS come prefisso del nome del ruolo o /aws-pcs/ come parte del percorso del ruolo. L'iam:PassRoleautorizzazione è richiesta sull'identità IAM (utente o ruolo) che crea o aggiorna un gruppo di nodi di calcolo. Quando un utente richiama le azioni CreateComputeNodeGroup o UpdateComputeNodeGroup API, AWS PCS verifica se l'utente è autorizzato a eseguire l'iam:PassRoleazione.
La seguente policy di esempio concede le autorizzazioni per passare solo i ruoli IAM il cui nome inizia con AWSPCS.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/AWSPCS*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
}
]
}
