Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prevenzione del problema "confused deputy" tra servizi
Un deputato confuso è un'entità (un servizio o un account) che è costretta da un'entità diversa a compiere un'azione. Questo tipo di impersonificazione può avvenire tra account e servizi diversi.
Per evitare la confusione dei «confused deputy»,AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi utilizzando entità di servizio a cui è stato concesso l'accesso alle risorse del tuoAccount AWS. Questa sezione si concentra sulla prevenzione degli agenti confusi tra servizi specificiAmazon Transcribe; tuttavia, è possibile saperne di più su questo argomento nella sezione relativa ai problemi degli assistenti confusi della Guida per l'IAMutente.
Per limitare le autorizzazioniIAM concesse per accedereAmazon Transcribe alle risorse, ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn
e aws:SourceAccount
nelle politiche delle risorse.
Se si utilizzano entrambe queste chiavi di contesto delle condizioni globali e ilaws:SourceArn
valore contiene l'Account AWSID, ilaws:SourceAccount
valore e l'Account AWSID,aws:SourceArn
il valore e l'Account AWSID quando viene utilizzato nella stessa dichiarazione di policy.
Utilizza aws:SourceArn
se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Se desideri associare qualsiasi risorsa in essa contenutaAccount AWS all'accesso tra servizi, usaaws:SourceAccount
.
Nota
Il modo più efficace per proteggersi dal problema «confused deputy» è quello di utilizzare la chiave di contesto della condizioneaws:SourceArn
globale con l'ARN completo della risorsa. Se non conosci l'ARN completo o scegli più risorse, utilizza la chiave di contesto della condizioneaws:SourceArn
globale con caratteri jolly (*
) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:transcribe::
.123456789012
:*
Per un esempio di politica sull'assunzione di ruoli che mostra come prevenire un problema confuso da parte del sostituto, vediPolicy di prevenzione del "confused deputy".