Prevenção contra o ataque do “substituto confuso” em todos os serviços - Fleet Hub para AWS IoT Gerenciamento de dispositivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção contra o ataque do “substituto confuso” em todos os serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Para limitar as permissões que o Fleet Hub concede a outro serviço para o recurso, recomendamos o uso das chaves de contexto de condição global aws:SourceArn and aws:SourceAccount nas políticas de recursos. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta aws:SourceArn no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto de condição aws:SourceArn global com o nome de recurso da Amazon completo (ARN) do recurso. Para Fleet Hub, o seu aws:SourceArn deve estar em conformidade com o formato: arn:aws:iot:region:account-id:*. Certifique-se de que o region corresponde à sua região do Fleet Hub e ao account-id corresponde ao ID da sua conta de cliente.

O exemplo a seguir mostra como evitar o problema de substituto confuso usando as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em uma política de confiança do perfil do Fleet Hub. Para encontrar sua função no Fleet HubARN, acesse a seção Fleet Hub no AWS IoT console e selecione seu aplicativo Fleet Hub para ver a página de detalhes do aplicativo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleethub.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:iot:us-east-1:123456789012:*"
        }
      }
    }
  ]
}