O alias de perfil permite acesso a serviços não utilizados - AWS IoT Device Defender
DetalhesPor que isso importa?Como corrigir

O alias de perfil permite acesso a serviços não utilizados

O alias de perfil da AWS IoT fornece um mecanismo para dispositivos conectados serem autenticados na AWS IoT usando certificados X.509 e obterem credenciais de curta duração da AWS de um perfil do IAM associado a um alias de perfil da AWS IoT. As permissões para essas credenciais devem ser definidas com escopo usando políticas de acesso com variáveis de contexto de autenticação. Se as políticas não estiverem configuradas corretamente, você ficará exposto a um escalonamento de ataque de privilégio. Essa verificação de auditoria garante que as credenciais temporárias fornecidas pelos aliases de função da AWS IoT não sejam excessivamente permissivas.

Essa verificação será acionada se o alias de função tiver acesso a serviços que não foram usados para o dispositivo AWS IoT no último ano. Por exemplo, a auditoria relata se você tem um perfil do IAM vinculado ao alias de perfil que só tenha usado AWS IoT no ano passado, mas a política anexada ao perfil também concede permissão para "iam:getRole" e "dynamodb:PutItem".

Essa verificação aparece como IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK na CLI e na API.

Severidade: média

Detalhes

Os códigos de motivo a seguir são retornados quando essa verificação encontra uma política de AWS IoT não compatível:

  • ALLOWS_ACCESS_TO_UNUSED_SERVICES

Por que isso importa?

Ao limitar as permissões aos serviços necessários para que um dispositivo execute suas operações normais, você reduz os riscos para sua conta se um dispositivo estiver comprometido.

Como corrigir

Siga estas etapas para corrigir todas as políticas que não estão em conformidade anexadas o objetos, grupos de objetos ou outras entidades:

  1. Siga as etapas em Autorização de chamadas diretas para serviços da AWS usando o provedor de credenciais do AWS IoT Core para aplicar uma política mais restritiva ao alias de seu perfil.

Você pode usar ações de mitigação para:

  • Aplique a ação de mitigação PUBLISH_FINDINGS_TO_SNS para implementar uma ação personalizada em resposta à mensagem do Amazon SNS.

Para ter mais informações, consulte Ações de mitigação.