AWS 推出了新的 IAM 上下文密钥 aws:ViaAWSMCPService 和 aws:CalledViaAWSMCP,用于跟踪流经其托管 MCP 服务的流量。虽然这些密钥通过防止 MCP 路由的请求直接删除 S3 对象来增强安全性,但它们不会传播到 Lambda 等下游服务。这意味着,即使是由 MCP 路由的请求调用的 Lambda 函数中的代码,如果其自身的执行角色允许,仍然可以执行删除 S3 对象等操作。文章强调,这不是一个安全漏洞,而是 IAM 工作方式的结果,需要对下游角色进行显式拒绝才能完全保护此类操作。 AI
影响 突显了 AI 代理在云安全控制方面可能存在的差距,需要仔细配置策略。
排序理由 文章详细介绍了有关 AWS IAM 策略和服务交互的细微安全观察,类似于研究发现。[lever_c_降级自研究:ic=1 ai=0.4]
- S3
- AWS
- aws:CalledViaAWSMCP
- CodeBuild
- aws-mcp.amazonaws.com
- aws:ViaAWSMCPService
- CloudTrail
- eks-mcp.amazonaws.com
- EventBridge
- Glue
- IAM
- MCP
- Step Functions
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →
