防止跨服务混淆代理 - Amazon Chime SDK

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

防止跨服务混淆代理

混淆代理问题属于信息安全问题,当无权执行操作的实体调用权限更高的实体代为执行操作时,就会出现这个问题。恶意行为者会借此机会运行原本无权运行的命令或修改原本无权访问的资源。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的混淆代理问题

在中 AWS,跨服务模仿可能会导致副手场景混乱。当一项服务(调用服务)调用另一项服务(被调用服务)时,就会发生跨服务模拟。恶意行为者可以使用平时无法获取的权限,利用调用服务改变另一项服务中心的资源。

AWS 为服务委托人提供对您账户中资源的托管访问权限,以帮助您保护资源的安全。亚马逊建议您在资源策略中使用 aws:SourceAccount 全局条件上下文键。这些密钥限制了 Amazon Chime 向该SDK资源提供的其他服务的权限。

以下示例显示了 S3 存储桶策略,在经过配置的 CallDetailRecords S3 存储桶中使用 aws:SourceAccount 全局条件上下文键,以免出现混淆代理问题。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}