Prevenção contra o ataque “Confused deputy” entre serviços - Amazon Managed Grafana

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção contra o ataque “Confused deputy” entre serviços

‘Confused deputy’ é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade com mais privilégios a executá-la. Na AWS, a personificação entre serviços pode resultar no problema do ‘confused deputy’. A imitação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado para utilizar as suas permissões para atuar nos recursos de outro cliente em que, de outra forma, ele não teria permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam a proteger os dados de todos os serviços com entidades principais de serviço que receberam acesso aos recursos na sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccountglobal aws:SourceArne as chaves de contexto nas políticas de recursos para limitar as permissões que o Amazon Managed Grafana concede a outro serviço ao recurso. Se o valor de aws:SourceArn não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor aws:SourceArn contém o ID da conta, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar a mesma ID de conta quando na mesma declaração de política. Utilize aws:SourceArn se quiser que apenas um recurso seja associado ao acesso entre serviços. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.

O valor de aws:SourceArn deve ser o ARN do seu espaço de trabalho Amazon Managed Grafana.

A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto global aws:SourceArn com curingas (*) para as partes desconhecidas do ARN. Por exemplo, arn:aws:grafana:*:123456789012:*.

O exemplo a seguir mostra como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e as políticas de confiança da função IAM do Amazon Managed Grafana Workspace para evitar o problema confuso do substituto.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "grafana.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountId", "aws:SourceArn": "arn:aws:grafana:region:accountId:/workspaces/workspaceId" } } } ] }