Deputado confuso entre serviços de prevenção na Amazon EventBridge - Amazon EventBridge
Barramentos de eventosEventBridge Tubos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Deputado confuso entre serviços de prevenção na Amazon EventBridge

O problema de "confused deputy" é uma questão de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccountglobal aws:SourceArne as chaves de contexto nas políticas de recursos para limitar as permissões que a Amazon EventBridge concede a outro serviço ao recurso. Use aws:SourceArn se quiser apenas um recurso associado a acessibilidade de serviço. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.

A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn global com caracteres curinga (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:servicename:*:123456789012:*.

Se o aws:SourceArn valor não contiver o ID da conta, como um bucket do Amazon S3ARN, você deverá usar as duas chaves de contexto de condição global para limitar as permissões.

Barramentos de eventos

Para destinos de regras de barramento de EventBridge eventos, o valor de aws:SourceArn deve ser a regraARN.

O exemplo a seguir mostra como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e global EventBridge para evitar o confuso problema substituto. Este exemplo é para uso em uma política de confiança de função, para uma função usada por uma EventBridge regra.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    ],
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:events:*:123456789012:rule/myRule"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
}

EventBridge Tubos

Para EventBridge tubos, o valor de aws:SourceArn deve ser o tuboARN.

O exemplo a seguir mostra como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e global EventBridge para evitar o confuso problema substituto. Este exemplo é para uso em uma política de confiança de função, para uma função usada pelo EventBridge Pipes.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    ],
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:pipe:*:123456789012::pipe/example"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
}