Prevenção confusa de delegados entre serviços para AWS IoT Events

nota

O AWS IoT Events serviço só permite que você use funções para iniciar ações na mesma conta na qual um recurso foi criado. Isso ajuda a evitar um confuso ataque policial em AWS IoT Events.
Esta página serve como referência para você ver como o problema confuso de deputados funciona e pode ser evitado caso recursos cruzados de contas sejam permitidos no AWS IoT Events serviço.

O problema de "confused deputy" é uma questão de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado.

A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccountglobal aws:SourceArne as chaves de contexto nas políticas de recursos para limitar as permissões que AWS IoT Events concedem outro serviço ao recurso. Se o aws:SourceArn valor não contiver o ID da conta, como um bucket do Amazon S3ARN, você deverá usar as duas chaves de contexto de condição global para limitar as permissões. Se você utilizar ambas as chaves de contexto de condição global, e o valor aws:SourceArn contiver o ID da conta, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política.

Use aws:SourceArn se quiser apenas um recurso associado a acessibilidade de serviço. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. O valor de aws:SourceArn deve ser o modelo do detector ou o modelo de alarme associado à solicitação sts:AssumeRole.

A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn global com curingas (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:iotevents:*:123456789012:*.

Os exemplos a seguir mostram como você pode usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e as chaves de contexto AWS IoT Events para evitar o confuso problema substituto.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualização de inputs do com base em tags

Exemplo: acesso seguro a um modelo de detector