角色别名过于宽容
AWS IoT 角色别名提供了一种机制,让连接的设备使用 X.509 证书对 AWS IoT 进行身份验证,然后从与 AWS IoT 角色别名关联的 IAM 角色获取短期 AWS 凭证。必须使用带有身份验证上下文变量的访问策略缩小这些凭证的权限范围。如果您的策略配置不当,您可能会使自己暴露在权限升级攻击中。此审计检查确保 AWS IoT 角色别名提供的临时凭证不会过于宽松。
如果发现以下其中一种条件,将触发此检查:
-
该策略针对此角色别名(例如,“iot:*”、“dynamodb:*”、“iam:*” 等)在过去一年中使用的任何服务提供管理权限。
-
该策略提供对事物元数据操作的广泛访问权限、对受限 AWS IoT 操作的访问权限或对 AWS IoT 数据层面操作的广泛访问权限。
-
该策略提供对“iam”、“cloudtrail”、“guardduty”、“inspector”或“trustedadvisor”等安全审计服务的访问权限。
此检查在 CLI 和 API 中显示为 IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK。
严重性:危急
详细信息
此检查发现不合规的 IoT 策略时,会返回以下原因代码:
-
ALLOWS_BROAD_ACCESS_TO_USED_SERVICES
-
ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES
-
ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS
-
ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS
为什么这非常重要
通过将权限限制为设备执行其正常操作所需的权限,您可以降低设备受到威胁时账户的风险。
如何修复
按照以下步骤来修复附加到事物、事物组或其它实体的任何不合规策略:
-
按照使用 AWS IoT Core 凭证提供商授予直接调用 AWS 服务的权限中的步骤对您的角色别名应用限制更严的策略。
您可以使用缓解操作实现以下目的:
-
如果要实现自定义操作以响应 Amazon SNS 消息,请应用
PUBLISH_FINDINGS_TO_SNS缓解操作。
有关更多信息,请参阅 缓解操作。
