gpt4 book ai didi

security - AWS 困惑代理 - "external id"真的只是一个 "password"吗?

转载 作者:行者123 更新时间:2023-12-02 14:41:37 25 4
gpt4 key购买 nike

Amazon Web Services 描述了混淆代理问题并规定使用“外部 ID”作为解决方案。

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html http://blogs.aws.amazon.com/security/blog/tag/Confused+Deputy

此处还描述了困惑的代理问题: http://www.cis.upenn.edu/~KeyKOS/ConfusedDeputy.html https://en.wikipedia.org/wiki/Confused_deputy_problem

然而,在所有花哨的讨论中,“外部 ID”最终似乎只是一个密码。我的理解是对还是错?

最佳答案

是的,与 IAM 第三方角色一起使用的外部 ID 是一个美化的密码。

我将在这里使用以下术语:

  • ServiceA - AWS 账户的第三方服务
  • User1 - ServiceA 的原始善意用户
  • User2 - ServiceA 的不法用户尝试访问 User1 的 AWS 账户

IAM 角色是一种确保只有 ServiceA 可以使用 User1 的 IAM 角色的方法。 User1 的 IAM 角色与 ServiceA 的 AWS 账户绑定(bind)。但需要额外的外部ID来确保ServiceA仅代表User1。如果没有外部 ID,User2 可能会欺骗 ServiceA 代表 User2。

如果 User2 猜出了 User1 的 IAM 角色 ARN 并且可以告诉 ServiceA 使用哪个外部 ID,则 User2 可以欺骗 ServiceA 在 User1 的 AWS 账户中代表它执行操作。

因此,ServiceA 应始终规定外部 ID 的值。这限制了 User2 在 ServiceA 眼中将自己欺骗为 User1 的能力。

关于security - AWS 困惑代理 - "external id"真的只是一个 "password"吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32467596/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com