混淆代理问题防范 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

混淆代理问题防范

混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 Amazon,跨服务模仿可能会导致混乱的副手问题。一个服务(调用服务)调用另一项服务(被调用服务)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,我们 Amazon 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予对您账户中资源的访问权限。

我们建议在资源策略中使用aws:SourceArnaws:SourceAccount全局条件上下文密钥来限制您授予 CloudWatch 日志的权限范围,以便将数据写入 Kinesis Data Streams 和 Kinesis Data Firehose。

aws:SourceArn 的值必须将权限限制为仅正在写入和接收数据的账户。

防范混淆代理问题最有效的方法是使用 aws:SourceArn 全局条件上下文键和资源的完整 ARN。如果您不知道资源的完整 ARN 或者要指定多个资源,请使用带有通配符 (*) 的 aws: SourceArn 全局上下文条件键来表示 ARN 的未知部分。例如,arn:aws:servicename::123456789012:*

记录的策略用于授予访问 CloudWatch 日志的权限,以便将数据写入 Kinesis Data Streams 和 Kinesis Data 步骤 1:创建目标 Firehose步骤 2:创建目标,并展示了如何使用 a SourceArn ws: 全局条件上下文密钥来帮助防止混乱的副手问题。