Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione costringe un'entità con più privilegi a eseguire tale operazione. In AWS, la rappresentazione tra servizi può lasciare le risorse dell'account vulnerabili al problema "confused deputy". La rappresentazione tra servizi si verifica quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può manipolare il servizio chiamato in modo da utilizzarne le autorizzazioni per agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso, tramite il servizio stesso. Per evitare che ciò accada, AWS fornisce strumenti che ti aiutano a proteggere i tuoi dati per tutti i servizi con responsabili dei servizi che hanno accesso alle risorse del tuo account. Consigliamo di utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` nelle policy delle risorse per limitare le autorizzazioni quando si accede a tali risorse. Le seguenti linee guida descrivono nel dettaglio i suggerimenti e i requisiti da rispettare quando utilizzi queste chiavi per proteggere le risorse: + Utilizza `aws:SourceArn` se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. + Utilizza `aws:SourceAccount` se desideri consentire l'associazione di qualsiasi risorsa nell'account specificato all'uso tra servizi. + Se il valore `aws:SourceArn` non contiene un ID account, devi utilizzare entrambe le chiavi di contesto delle condizioni globali (`aws:SourceArn` e `aws:SourceAccount`) per limitare le autorizzazioni. + Se utilizzi entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene un ID account, la chiave `aws:SourceAccount` deve utilizzare lo stesso ID account quando utilizzata nella stessa istruzione di policy. Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non conosci l'ARN completo della risorsa, usa la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (ad esempio, \*) per le parti sconosciute dell'ARN. Inoltre, puoi utilizzare un carattere jolly nell'ARN se desideri specificare più risorse. Ad esempio, puoi dare all'ARN un formato come `arn:aws:{{servicename}}::{{region-name}}::{{your Account AWS ID}}:*`. **Topics** + [Esempio: ruolo di servizio WorkSpaces delle applicazioni, prevenzione alternativa confusa tra diversi servizi](example-confused-deputy.md) + [Esempio: flotta di WorkSpaces applicazioni, macchine, ruolo, servizi, servizi confusi, prevenzione degli interventi](example-fleet-machine.md) + [Esempio: WorkSpaces Applicazioni, Elastic fleets, script di sessione, policy sui bucket di Amazon S3, cross-service, prevenzione confusa](example-elastic-fleets.md) + [Esempio: WorkSpaces applicazioni, applicazione, policy sui bucket di Amazon S3, prevenzione della confusione tra diversi servizi](example-s3-bucket.md)