Prevenzione del problema "confused deputy" tra servizi - Amazon Transcribe

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Un deputato confuso è un'entità (un servizio o un account) che è costretta da un'entità diversa a compiere un'azione. Questo tipo di impersonificazione può avvenire tra account e servizi diversi.

Per evitare la confusione dei «confused deputy»,AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi utilizzando entità di servizio a cui è stato concesso l'accesso alle risorse del tuoAccount AWS. Questa sezione si concentra sulla prevenzione degli agenti confusi tra servizi specificiAmazon Transcribe; tuttavia, è possibile saperne di più su questo argomento nella sezione relativa ai problemi degli assistenti confusi della Guida per l'IAMutente.

Per limitare le autorizzazioniIAM concesse per accedereAmazon Transcribe alle risorse, ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArne aws:SourceAccountnelle politiche delle risorse.

Se si utilizzano entrambe queste chiavi di contesto delle condizioni globali e ilaws:SourceArn valore contiene l'Account AWSID, ilaws:SourceAccount valore e l'Account AWSID,aws:SourceArn il valore e l'Account AWSID quando viene utilizzato nella stessa dichiarazione di policy.

Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Se desideri associare qualsiasi risorsa in essa contenutaAccount AWS all'accesso tra servizi, usaaws:SourceAccount.

Nota

Il modo più efficace per proteggersi dal problema «confused deputy» è quello di utilizzare la chiave di contesto della condizioneaws:SourceArn globale con l'ARN completo della risorsa. Se non conosci l'ARN completo o scegli più risorse, utilizza la chiave di contesto della condizioneaws:SourceArn globale con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:transcribe::123456789012:*.

Per un esempio di politica sull'assunzione di ruoli che mostra come prevenire un problema confuso da parte del sostituto, vediPolicy di prevenzione del "confused deputy".