Prevención de la sustitución confusa entre servicios - Amazon Chime

Aviso de fin de soporte: el 20 de febrero de 2026, AWS finalizará el soporte para el servicio Amazon Chime. Después del 20 de febrero de 2026, ya no podrá acceder a la consola Amazon Chime ni a los recursos de la aplicación Amazon Chime. Para obtener más información, visite la entrada del blog. Nota: Esto no afecta a la disponibilidad del servicio Amazon Chime SDK.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prevención de la sustitución confusa entre servicios

El problema del suplente confuso es un problema de seguridad que se produce cuando una entidad sin permiso para realizar una acción llama a una entidad con más privilegios para que la realice. Esto puede permitir que actores malintencionados ejecuten comandos o modifiquen recursos para los que, de otro modo, no tendrían permiso de ejecución ni acceso. Para obtener más información, consulte El problema del suplente confuso en la Guía del usuario de AWS Identity and Access Management .

En AWS, la suplantación de identidad entre servicios puede llevar a una situación de diputado confusa. La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). Un actor malintencionado puede utilizar el servicio de llamadas para alterar los recursos de otro servicio mediante permisos que normalmente no tendría.

AWS proporciona a los directores de servicio acceso gestionado a los recursos de tu cuenta para ayudarte a proteger la seguridad de tus recursos. Recomendamos utilizar las claves de contexto de condición global de aws:SourceAccount en sus políticas de recursos. Estas claves limitan los permisos que otorga Amazon Chime a otro servicio para el recurso.

En los siguientes ejemplos se muestra una política de buckets de S3 que usa las claves de contexto de condición global de aws:SourceAccount en el bucket de S3 de CallDetailRecords configurado para evitar el problema del suplente confuso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}