ロールエイリアスが未使用サービスへのアクセスを許可します
AWS IoT ロールエイリアスは、接続されたデバイスが X.509 証明書を使用して AWS IoT を認証し、AWS IoT ロールエイリアスに関連付けられた IAM ロールから短期間の AWS 認証情報を取得するためのメカニズムを提供します。これらの認証情報のアクセス許可は、認証コンテキスト変数を持つアクセスポリシーを使用して範囲を限定する必要があります。ポリシーが正しく設定されていない場合、特権攻撃のエスカレーションにさらされる可能性があります。この監査チェックにより、AWS IoT ロールエイリアスによって提供される一時的な認証情報が過度に許容されないことが保証されます。
このチェックは、昨年 AWS IoT デバイスで使用されていないサービスに、ロールエイリアスがアクセスできる場合にトリガーされます。例えば、過去 1 年間に AWS IoT のみを使用したロールエイリアスにリンクされた IAM ロールがある場合、監査はレポートしますが、ロールにアタッチされたポリシーは "iam:getRole" および "dynamodb:PutItem" にもアクセス許可を付与します。
このチェックは、CLI および API で IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK として表示されます。
重大度: 中
詳細
このチェックにより非準拠の AWS IoT ポリシーが見つかった場合、次の理由コードが返されます。
-
ALLOWS_ACCESS_TO_UNUSED_SERVICES
重要な理由
デバイスが通常のオペレーションを実行するために必要なサービスにアクセス許可を制限することで、デバイスが侵害された場合のアカウントのリスクを軽減できます。
修正方法
モノ、モノのグループ、その他のエンティティにアタッチされた不適合のポリシーを修正するには、以下のステップを実行してください。
-
「AWS IoT Core 認証情報プロバイダーを使用して、AWS サービスの直接呼び出しを認証」の手順に従って、ロールエイリアスにより制限の厳しいポリシーを適用します。
緩和アクションを使用して、以下を実行できます。
-
Amazon SNS メッセージに対するレスポンスとしてカスタムアクションを実装する場合は、
PUBLISH_FINDINGS_TO_SNS緩和アクションを適用します。
詳細については、「緩和アクション」を参照してください。
