Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der aufrufende Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zuzugreifen, obwohl er dazu nicht berechtigt ist. Um dies zu verhindern, bietet Amazon Web Services Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. 

Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen zu beschränken, die einem anderen Dienst für den Zugriff auf Ihre Ressourcen AWS Audit Manager gewährt werden. 
+ Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Wenn Sie mehrere Ressourcen angeben möchten, können Sie auch `aws:SourceArn` mit einem Platzhalter (`*`) verwenden.

  Beispielsweise könnten Sie ein Amazon-SNS-Thema verwenden, um Aktivitätsbenachrichtigungen von Audit Manager zu erhalten. In diesem Fall ist der ARN-Wert von `aws:SourceArn` in Ihrer SNS-Zugriffsrichtlinie die Audit Manager-Ressource, von der die Benachrichtigung stammt. Da Sie wahrscheinlich über mehrere Audit Manager-Ressourcen verfügen, empfehlen wir die Verwendung von `aws:SourceArn` mit einem Platzhalter. Auf diese Weise können Sie alle Ihre Audit Manager-Ressourcen in Ihrer SNS-Themenzugriffsrichtlinie angeben. 
+ Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden. 
+ Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. den ARN eines Amazon-S3-Buckets, müssen Sie beide globalen Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. 
+ Wenn Sie beide Bedingungen verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert die gleiche Konto-ID aufweisen, wenn sie in der gleichen Richtlinienanweisung verwendet werden.
+ Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen Amazon-Ressourcenname (ARN) der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`. 

## Audit Manager Confused-Deputy-Support
<a name="audit-manager-confused-deputy-support"></a>

Audit Manager bietet verwirrte stellvertretende Unterstützung in den folgenden Szenarien. Diese Richtlinienbeispiele zeigen, wie Sie die `aws:SourceArn`- und `aws:SourceAccount`-Bedingungsschlüssel verwenden können, um das Confused-Deputy-Support-Problem zu vermeiden.
+ [Beispiel-Richtlinie: Das SNS-Thema, das Sie für den Empfang von Audit Manager-Benachrichtigungen verwenden](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [Beispielrichtlinie: Der KMS-Schlüssel, mit dem Sie Ihr SNS-Thema verschlüsseln](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

Audit Manager bietet keinen Confused-Deputy-Support für den kundenverwalteten Schlüssel, den Sie in Ihren Audit Manager [Konfiguration Ihrer Datenverschlüsselungseinstellungen](settings-KMS.md)-Einstellungen angeben. Wenn Sie Ihren eigenen, vom Kunden verwalteten Schlüssel bereitgestellt haben, können Sie die `aws:SourceAccount`- oder `aws:SourceArn`-Bedingungen in dieser KMS-Schlüsselrichtlinie nicht verwenden.