本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制混淆代理人問題的範例
<a name="cloudwatch-confused-deputy"></a>

混淆代理人問題屬於安全性議題，其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS，跨服務模擬可能會導致混淆代理人問題。如需詳細資訊，請參閱[預防跨服務混淆代理人](confused-deputy.md)。

**注意**  
在下列範例中，將每個{{使用者輸入預留位置}}取代為您自己的資訊。  
在這些範例中，如果您的伺服器沒有連接任何工作流程，您可以移除工作流程的 ARN 詳細資訊。

下列範例記錄/呼叫政策允許帳戶中的任何伺服器 （和工作流程） 擔任該角色。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllServersWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnLike": {
                   "aws:SourceArn": [
                     "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:server/*",
                     "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:workflow/*"
                   ]
                }
            }
        }
    ]
}
```

下列範例記錄/叫用政策允許特定伺服器 （和工作流程） 擔任該角色。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificServerWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{111122223333}}"
                },
                "ArnEquals": {
                   "aws:SourceArn": [
                       "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:server/{{server-id}}",
                       "arn:aws:transfer:{{us-west-2}}:{{111122223333}}:workflow/{{workflow-id}}"
                   ]
                }
            }
        }
    ]
}
```