本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 混淆代理问题限制示例 混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。有关更多详细信息,请参阅[Cross-service 混乱的副手预防](confused-deputy.md)。 **注意** 在以下示例中,用您自己的信息替换每个{{user input placeholder}}示例。 在这些示例中,如果您的服务器未附加任何工作流程,则可以删除该工作流程的 ARN 详细信息。 以下示例 logging/invocation 策略允许账户中的任何服务器(和工作流程)代入该角色。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllServersWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{111122223333}}" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:server/*", "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:workflow/*" ] } } } ] } ``` 以下示例 logging/invocation 策略允许特定的服务器(和工作流程)担任该角色。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSpecificServerWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{111122223333}}" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:server/{{server-id}}", "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:workflow/{{workflow-id}}" ] } } } ] } ```