Prevenção do problema do substituto confuso entre serviços - Amazon Chime

Você deve ser administrador do sistema Amazon Chime para concluir as etapas deste guia. Se você precisar de ajuda com o cliente de desktop, a aplicação web ou aplicativo móvel do Amazon Chime, consulte Getting support no Guia do usuário do Amazon Chime.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção do problema do substituto confuso entre serviços

O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação chama uma entidade mais privilegiada a executar a ação. Isso pode permitir que agentes mal-intencionados executem comandos ou modifiquem recursos que, de outra forma, não teriam permissão para executar ou acessar. Para obter mais informações, consulte O problema de “confused deputy” no Guia do usuário do AWS Identity and Access Management .

Em AWS, a falsificação de identidade entre serviços pode levar a um cenário confuso de delegado. A personificação entre serviços ocorre quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). Um agente mal-intencionado pode usar o serviço de chamada para alterar recursos em outro serviço utilizando permissões que normalmente não teria.

AWS fornece aos diretores de serviços acesso gerenciado aos recursos em sua conta para ajudá-lo a proteger a segurança de seus recursos. Recomendamos usar a chave de contexto de condição global aws:SourceAccount em suas políticas de recursos. Essas chaves limitam as permissões que o Amazon Chime concede a outro serviço para este atributo.

O exemplo a seguir mostra uma política de bucket do S3 que usa a chave de contexto de condição global aws:SourceAccount no bucket do S3 CallDetailRecords configurado para evitar o problema de substituto confuso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}