As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prevenção de ‘confused deputy’
O problema de "confused deputy" é uma questão de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição aws:SourceOrgPaths
global aws:SourceArn
aws:SourceAccount
aws:SourceOrgID
,,, e nas políticas de recursos para limitar as permissões que fornecem outro serviço ao recurso. Use aws:SourceArn
se quiser associar apenas um recurso ao acesso entre serviços. Use aws:SourceAccount
se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. Use aws:SourceOrgID
se quiser permitir que qualquer recurso de qualquer conta de uma organização seja associado ao uso entre serviços. Use aws:SourceOrgPaths
para associar qualquer recurso de contas dentro de um AWS Organizations caminho com o uso cruzado de serviços. Para obter mais informações sobre como usar e entender os caminhos, consulte Compreender o AWS Organizations caminho da entidade.
A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn
global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn
global com caracteres curinga (*
) para as partes desconhecidas do. ARN Por exemplo, arn:aws:
. servicename
:*:123456789012
:*
Se o aws:SourceArn
valor não contiver o ID da conta, como um bucket do Amazon S3ARN, você deverá usar ambos aws:SourceAccount
e aws:SourceArn
limitar as permissões.
Para se proteger do problema de "confused deputy" em grande escala, use a chave de contexto de condição global aws:SourceOrgID
ou aws:SourceOrgPaths
com o ID ou o caminho da organização do recurso nas políticas baseadas em recursos. As políticas que incluem a chave aws:SourceOrgID
ou aws:SourceOrgPaths
incluem automaticamente as contas corretas e você não tem que atualizar manualmente as políticas quando adiciona, remove ou move contas na organização.
As políticas documentadas para conceder acesso ao CloudWatch Logs para gravar dados no Kinesis Data Streams e Etapa 1: criar um destino no Firehose Etapa 2: Criar um destino e mostram como você pode usar a chave de contexto de condição global awsSourceArn : para ajudar a evitar o confuso problema do deputado.