混淆代理问题防范 - Amazon CloudWatch Logs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

混淆代理问题防范

混淆代理问题是一个安全问题,即没有执行操作权限的实体可能会迫使更具权限的实体执行该操作。在 Amazon 中,跨服务模拟可能会导致混淆代理问题。当一个服务(调用服务)调用另一项服务(被调用服务)时,可能会发生跨服务模拟。调用服务可以被操纵,以使用其权限对另一个客户的资源进行操作,而其本来不应该拥有访问权限。为了防止这种情况,Amazon 将提供工具帮助您保护所有服务的服务委托人数据,这些服务委托人有权限访问账户中的资源。

我们建议您在资源策略中使用 aws:SourceArnaws:SourceAccount 全局条件上下文密钥,用于限制您授予 CloudWatch Logs 向 Kinesis 和 Kinesis Data Firehose 写入数据的权限范围。

aws:SourceArn 的值必须将权限限制为仅正在写入和接收数据的账户。

防止代理混淆问题的最有效方法是使用 aws:SourceArn 全局条件上下文密钥和资源的完整 ARN。如果您不知道资源的完整 ARN,或者您正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局上下文条件密钥。例如:arn:aws:servicename::123456789012:*

记录策略以向 CloudWatch Logs 授予权限,在 创建目标步骤 2:创建目标 中向 Kinesis 和 Kinesis Data Firehose 写入数据,策略中展示了如何使用 aws:SourceArn 全局条件上下文密钥来帮助防止混淆代理问题。