Prevenzione del problema "confused deputy" tra servizi - Amazon Transcribe

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione del problema "confused deputy" tra servizi

Un "confused deputy" è un'entità (un servizio o un account) costretta da un'altra entità a compiere un'azione. Questo tipo di impersonificazione può avvenire tra diversi account e tra diversi servizi.

Per evitare la confusione dei dipendenti, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi utilizzando gestori di servizi a cui è stato concesso l'accesso alle risorse del vostro. Account AWSQuesta sezione si concentra sulla prevenzione intersettoriale dei deputati confusi, specifica per Amazon Transcribe; tuttavia, puoi saperne di più su questo argomento nella sezione dedicata ai problemi dei deputati confusi della Guida per l'IAM utente.

Per limitare le autorizzazioni concesse per IAM accedere Amazon Transcribe alle risorse, consigliamo di utilizzare le chiavi di contesto della condizione globale aws:SourceArne aws:SourceAccountnelle politiche relative alle risorse.

Se si utilizzano entrambe queste chiavi di contesto della condizione globale e il aws:SourceArn valore contiene l' Account AWS ID, il aws:SourceAccount valore e l' Account AWS in aws:SourceArn devono utilizzare lo stesso Account AWS ID quando vengono utilizzati nella stessa dichiarazione di policy.

Utilizza aws:SourceArn se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Se desideri associare una qualsiasi risorsa all'accesso tra servizi, usaaws:SourceAccount. Account AWS

Nota

Il modo più efficace per proteggersi dal problema del "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale aws:SourceArn con caratteri speciali (*) per le parti sconosciute dell'ARN. Ad esempio arn:aws:transcribe::123456789012:*.

Per un esempio di policy sull'assunzione del ruolo che mostra come prevenire il problema del "confused deputy", consulta Policy di prevenzione del "confused deputy".