本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
防止跨服务混淆代理
注意
-
该 AWS IoT Events 服务仅允许客户使用角色在创建资源的同一账户中启动操作。这意味着无法使用此服务进行混淆代理攻击。
-
该页面可供客户参考,以了解混淆代理问题是如何工作的,如果 AWS IoT Events 服务中允许使用跨账户资源,则可以避免。
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。
一个服务(呼叫服务)调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,我们 AWS 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予访问您账户中资源的权限。
我们建议在资源策略中使用aws:SourceArn
和aws:SourceAccount
全局条件上下文密钥来限制为资源 AWS IoT Events 提供其他服务的权限。如果该aws:SourceArn
值不包含账户 ID,例如 Amazon S3 存储桶ARN,则必须同时使用两个全局条件上下文密钥来限制权限。如果同时使用全局条件上下文密钥和包含账户 ID 的 aws:SourceArn
值,则 aws:SourceAccount
值和 aws:SourceArn
值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。
如果您只希望将一个资源与跨服务访问相关联,请使用 aws:SourceArn
。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用 aws:SourceAccount
。aws:SourceArn
值必须是与sts:AssumeRole
请求关联的探测器模型或警报模型。
防止混乱的副手问题的最有效方法是使用具有全部资源的全aws:SourceArn
ARN局条件上下文密钥。如果您不知道资源的全部ARN内容,或者要指定多个资源,请使用带有通配符 (*
) 的aws:SourceArn
全局上下文条件键来表示未知部分。ARN例如,arn:aws:
。iotevents
:*:123456789012
:*
以下示例说明了如何使用中的aws:SourceArn
和aws:SourceAccount
全局条件上下文键 AWS IoT Events 来防止出现混淆的副手问题。