Prevenção do problema do substituto confuso entre serviços

O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado para que ele use as respectivas permissões com o objetivo de acessar os recursos de outro cliente de uma forma que, normalmente, ele não deveria ter permissão. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceAccount global aws:SourceArn e as chaves de contexto nas políticas de recursos para limitar as permissões que o Identity and Access Management (IAM) concede ao Amazon Nimble Studio para acessar seus recursos. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta aws:SourceArn no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

O valor de aws:SourceArn deve ser do estúdio ARN e aws:SourceAccount deve ser o ID da sua conta. Você não saberá qual é o ID do estúdio até que o estúdio seja criado, pois ele é gerado pelo Nimble Studio. Depois que seu estúdio for criado, você poderá atualizar a política de confiança com o ID final do estúdio definido como aws:SourceArn.

A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn global com curingas (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:nimble::123456789012:*.

Seus usuários finais assumem sua função de estúdio quando entram no portal do Nimble Studio. Quando você cria seu estúdio, AWS configura a função e avalia a política. AWS avalia a política toda vez que um de seus usuários fizer login no portal do Nimble Studio. Quando você cria um estúdio, não é possível modificar o aws:SourceArn. Depois de terminar de criar seu estúdio, você pode usar o seu studioArn para aws:SourceArn o.

O exemplo a seguir é uma política de assumir função que mostra como você pode usar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount no Nimble Studio para evitar o problema confused deputy.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "identity.nimble.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*"
        }
      }
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS políticas gerenciadas

Solução de problemas