Prevención de la sustitución confusa entre servicios
Un suplente confuso es una entidad (un servicio o una cuenta) que es obligada por una entidad diferente a realizar una acción. Este tipo de suplantación puede ocurrir entre cuentas y entre servicios.
Para evitar suplentes confusos, AWS proporciona herramientas que lo ayuda a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su Cuenta de AWS. Esta sección se centra en la prevención de suplentes confusos específica entre servicios de Amazon Transcribe; no obstante, puede obtener más información sobre este tema en la sección Problema del suplente confuso de la Guía del usuario de IAM.
Para limitar los permisos que IAM concede a Amazon Transcribe para acceder a sus recursos, se recomienda utilizar las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos.
Si utiliza claves de contexto de condición global y el valor de aws:SourceArn contiene el ID de Cuenta de AWS, el valor aws:SourceAccount y Cuenta de AWS en aws:SourceArn deben utilizar el mismo ID de Cuenta de AWS cuando se utiliza en la misma instrucción de política.
Si desea que sólo se asocie un recurso al acceso entre servicios, utilice aws:SourceArn. Si desea asociar cualquier recurso en Cuenta de AWS con acceso entre servicios, utilice aws:SourceAccount.
nota
La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de condición de contexto de global aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso, o si especifica varios recursos, utilice la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:transcribe::.123456789012:*
Para ver un ejemplo de una política de asunción de roles que muestra cómo se puede evitar un problema de suplente confuso, consulte Prevención del suplente confuso.
