混淆代理问题防范 - Amazon CloudWatch Logs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

混淆代理问题防范

混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在 Amazon 中,跨服务模拟可能会导致混淆代理问题。一个服务(呼叫服务) 调用另一项服务(所谓的服务)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为了防止这种情况,Amazon 提供可帮助您保护所有服务的服务委托人数据的工具,这些服务委托人有权限访问账户中的资源。

我们建议您在资源策略中使用 aws:SourceArnaws:SourceAccount 全局条件上下文密钥,用于限制您授予 CloudWatch Logs 向 Kinesis Data Streams 和 Kinesis Data Firehose 写入数据的权限范围。

aws:SourceArn 的值必须将权限限制为仅正在写入和接收数据的账户。

防范混淆代理问题最有效的方法是使用 aws:SourceArn 全局条件上下文键和资源的完整 ARN。如果您不知道资源的完整 ARN,或者您正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局上下文条件密钥。例如,arn:aws:servicename::123456789012:*

记录策略以向 CloudWatch Logs 授予权限,在 创建目标步骤 2:创建目标 中向 Kinesis Data Streams 和 Kinesis Data Firehose 写入数据,策略中展示了如何使用 aws:SourceArn 全局条件上下文密钥来帮助防止混淆代理问题。