角色別名過度寬鬆
AWS IoT 角色別名提供一種機制,讓連網裝置使用 X.509 憑證來對 AWS IoT 進行驗證,然後從與 AWS IoT 角色別名相關聯的 IAM 角色取得短期 AWS 憑證。必須搭配驗證內容變數使用存取政策來限定這些憑證的許可。如果您的政策配置不正確,您可能會讓自己受到權限提升的攻擊。此稽核檢查可確保 AWS IoT 角色別名所提供的暫時憑證不會過於寬鬆。
如果找到下列其中一種情況,就會觸發此檢查:
-
政策將管理許可提供給角色別名 (例如,"iot:*"、"dynamodb:*"、"iam:*" 等等) 在過去一年中所使用的任何服務。
-
政策可讓您廣泛存取物件中繼資料動作、存取受限制的 AWS IoT 動作,或廣泛存取 AWS IoT 資料平面動作。
-
政策可讓您存取安全稽核服務,例如 "iam"、"cloudtrail"、"guardduty"、"inspector" 或 "trustedadvisor"。
此檢查會以 IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK 出現在 CLI 和 API 中。
嚴重性:關鍵
詳細資訊
當此檢查發現不合規的 IoT 政策時,將會傳回下列原因代碼:
-
ALLOWS_BROAD_ACCESS_TO_USED_SERVICES
-
ALLOWS_ACCESS_TO_SECURITY_AUDITING_SERVICES
-
ALLOWS_BROAD_ACCESS_TO_IOT_THING_ADMIN_READ_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_NON_THING_ADMIN_ACTIONS
-
ALLOWS_ACCESS_TO_IOT_THING_ADMIN_WRITE_ACTIONS
-
ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS
為什麼它很重要
藉由將許可限制為裝置執行正常作業所需的許可,您可以降低裝置遭到入侵時的帳戶風險。
如何修正它
遵循以下步驟以修正任何附加到物件、物件群組或其他實體不合規的政策:
-
請遵循AWS IoT Core憑證提供者使用授權直接呼叫 AWS 服務中的步驟,將更嚴格的政策套用至您的角色別名。
您可以使用緩解動作:
-
如果您要實作自訂動作以回應 Amazon SNS 訊息,請套用
PUBLISH_FINDINGS_TO_SNS緩解行動。
如需詳細資訊,請參閱緩解動作。
