Prevenção contra o ataque do “substituto confuso” em todos os serviços

Um representante ou substituto confuso (“confused deputy”) é uma entidade (um serviço ou uma conta) que é coagida por uma entidade diferente a realizar uma ação. Esse tipo de falsificação de identidade pode ocorrer entre contas e serviços.

Para evitar representantes confusos, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços que usam entidades principais de serviço que receberam acesso a recursos em sua Conta da AWS. Esta seção se concentra na prevenção contra representantes confusos entre serviços específica para o Amazon Transcribe; no entanto, você pode saber mais sobre esse tópico na seção de O problema de “confused deputy” do Guia do usuário do IAM.

Para limitar as permissões que o IAM concede ao Amazon Transcribe para acessar seus recursos, recomendamos usar as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount em suas políticas de recursos.

Se você usar essas duas chaves de contexto de condição globais e o valor aws:SourceArn contiver o ID da Conta da AWS, o valor aws:SourceAccount e a Conta da AWS em aws:SourceArn deverão usar o mesmo ID da Conta da AWS quando usados na mesma declaração de política.

Use se quiser que apenas um recurso seja associado ao acesso entre serviços aws:SourceArn. Se você quiser associar qualquer recurso nessa Conta da AWS com acesso entre serviços, use aws:SourceAccount.

Para obter um exemplo de uma política de função assumida que mostra como você pode evitar um problema de representante confuso, consulte Política de prevenção contra representantes confusos.