ロールエイリアスの権限が過剰です
AWS IoT ロールエイリアスは、接続されたデバイスが X.509 証明書を使用して AWS IoT を認証し、AWS IoT ロールエイリアスに関連付けられた IAM ロールから短期間の AWS 認証情報を取得するためのメカニズムを提供します。これらの認証情報のアクセス許可は、認証コンテキスト変数を持つアクセスポリシーを使用して範囲を限定する必要があります。ポリシーが正しく設定されていない場合、特権攻撃のエスカレーションにさらされる可能性があります。この監査チェックにより、AWS IoT ロールエイリアスによって提供される一時的な認証情報が過度に許容されないことが保証されます。
このチェックは、次のいずれかの条件が見つかった場合にトリガーされます。
-
このポリシーは、このロールエイリアスによって過去 1 年に使用されたすべてのサービスに対する管理アクセス許可を提供します (例えば、「iot:*」、「dynamodb:*」、「iam:*」など)。
-
このポリシーは、モノメタデータアクションへの幅広いアクセス、制限された AWS IoT アクションへのアクセス、または AWS IoT データプレーンアクションへの幅広いアクセスを提供します。
-
このポリシーは、「iam」、「cloudtrail」、「guardduty」、「inspector」、「trustedadvisor」などのセキュリティ監査サービスへのアクセスを提供します。
このチェックは、CLI および API で IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK として表示されます。
重要度: 非常事態
詳細
このチェックにより不適合の IoT ポリシーが見つかった場合、次の理由コードが返されます。
-
ALLOWS_BROAD_ACCESS_TO_USED_SERVICES
-
ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES
-
ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS
-
ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS
重要な理由
デバイスが通常のオペレーションを実行するために必要なアクセス許可を制限することで、デバイスが侵害された場合のアカウントのリスクを軽減できます。
修正方法
モノ、モノのグループ、その他のエンティティにアタッチされた不適合のポリシーを修正するには、以下のステップを実行してください。
-
「AWS IoT Core 認証情報プロバイダーを使用して、AWS サービスの直接呼び出しを認証」の手順に従って、ロールエイリアスにより制限の厳しいポリシーを適用します。
緩和アクションを使用して、以下を実行できます。
-
Amazon SNS メッセージに対するレスポンスとしてカスタムアクションを実装する場合は、
PUBLISH_FINDINGS_TO_SNS緩和アクションを適用します。
詳細については、「緩和アクション」を参照してください。
