As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prevenção do problema do substituto confuso entre serviços
O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado para que ele use as respectivas permissões com o objetivo de acessar os recursos de outro cliente de uma forma que, normalmente, ele não deveria ter permissão. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição aws:SourceAccount
global aws:SourceArn
e as chaves de contexto nas políticas de recursos para limitar as permissões que o Identity and Access Management (IAM) concede ao Amazon Nimble Studio para acessar seus recursos. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount
e a conta aws:SourceArn
no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O valor de aws:SourceArn
deve ser do estúdio ARN e aws:SourceAccount
deve ser o ID da sua conta. Você não saberá qual é o ID do estúdio até que o estúdio seja criado, pois ele é gerado pelo Nimble Studio. Depois que seu estúdio for criado, você poderá atualizar a política de confiança com o ID final do estúdio definido como aws:SourceArn
.
A maneira mais eficaz de se proteger contra o confuso problema do deputado é usar a chave de contexto ARN de condição aws:SourceArn
global com todo o recurso. Se você não souber a totalidade ARN do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto aws:SourceArn
global com curingas (*) para as partes desconhecidas do. ARN Por exemplo, arn:aws:nimble::123456789012:*
.
Seus usuários finais assumem sua função de estúdio quando entram no portal do Nimble Studio. Quando você cria seu estúdio, AWS configura a função e avalia a política. AWS avalia a política toda vez que um de seus usuários fizer login no portal do Nimble Studio. Quando você cria um estúdio, não é possível modificar o aws:SourceArn
. Depois de terminar de criar seu estúdio, você pode usar o seu studioArn para aws:SourceArn
o.
O exemplo a seguir é uma política de assumir função que mostra como você pode usar as chaves de contexto de condição global aws:SourceArn
e aws:SourceAccount
no Nimble Studio para evitar o problema confused deputy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "identity.nimble.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:nimble:us-west-2:123456789012:studio/*" } } } ] }