Amazon Fraud Detector ist seit dem 7. November 2025 nicht mehr für Neukunden geöffnet. Funktionen, die Amazon Fraud Detector ähneln, finden Sie SageMaker unter Amazon AutoGluon, und AWS WAF. Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Confused-Deputy-Prävention Das Problem mit dem verwirrten Stellvertreter tritt auf, wenn eine Entität, die nicht zur Durchführung einer Aktion berechtigt ist, eine Entität mit mehr Rechten dazu zwingen kann, die Aktion auszuführen. AWS stellt Tools bereit, mit denen Sie Ihr Konto schützen können, wenn Sie Dritten (als *kontoübergreifend bezeichnet) oder anderen AWS Diensten (als *dienstübergreifend* bezeichnet) Zugriff auf Ressourcen in Ihrem Konto* gewähren. Cross-service Ein Problem mit einem verwirrten Stellvertreter kann auftreten, wenn ein Dienst (der *anrufende Dienst*) einen anderen Dienst (der *angerufene* Dienst) anruft. Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, können Sie Richtlinien erstellen, die Ihnen helfen, Ihre Daten für alle Dienste mit Dienstprinzipalen zu schützen, denen Zugriff auf die Ressourcen Ihres Dienstes gewährt wurde. Amazon Fraud Detector unterstützt die Verwendung von [Servicerollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihren Berechtigungsrichtlinien, damit ein Service in Ihrem Namen auf die Ressourcen eines anderen Dienstes zugreifen kann. Eine Rolle erfordert zwei Richtlinien: eine Rollenvertrauensrichtlinie, die den Prinzipal angibt, der die Rolle übernehmen darf, und eine Berechtigungsrichtlinie, die angibt, was mit der Rolle gemacht werden kann. Wenn ein Dienst eine Rolle in Ihrem Namen übernimmt, muss der Service-Prinzipal die`sts:AssumeRole`-Aktion in der Rollenvertrauensrichtlinie ausführen dürfen. Wenn ein Service anruft`sts:AssumeRole`, wird ein Satz temporärer Sicherheitsanmeldedaten AWS STS zurückgegeben, die der Service-Principal verwendet, um auf die Ressourcen zuzugreifen, die gemäß der Berechtigungsrichtlinie der Rolle zulässig sind. Um ein dienstübergreifendes Problem mit verwirrten Stellvertretern zu vermeiden, empfiehlt Amazon Fraud Detector, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungskontextschlüssel in Ihrer Rollenvertrauensrichtlinie zu verwenden, um den Zugriff auf die Rolle nur auf die Anfragen zu beschränken, die von den erwarteten Ressourcen generiert werden. Das `aws:SourceAccount` gibt die Konto-ID und das den ARN der Ressource `aws:SourceArn` an, die dem dienstübergreifenden Zugriff zugeordnet ist. Das `aws:SourceArn` muss im [ARN-Format](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) angegeben werden. Stellen Sie sicher, dass `aws:SourceArn` beide `aws:SourceAccount` und dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden. Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den `aws:SourceArn` globalen Kontextbedingungsschlüssel mit einem Platzhalter (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:{{servicename}}:*:{{123456789012}}:*`. Informationen zu den Ressourcen und Aktionen von Amazon Fraud Detector, die Sie in Ihren Berechtigungsrichtlinien verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies). Im folgenden Beispiel für eine Rollenvertrauensrichtlinie wird ein Platzhalter (\*) im `aws:SourceArn` Bedingungsschlüssel verwendet, um Amazon Fraud Detector Zugriff auf mehrere Ressourcen zu gewähren, die mit der Konto-ID verknüpft sind. Die folgende Rollenvertrauensrichtlinie ermöglicht Amazon Fraud Detector nur den Zugriff auf `external-model` Ressourcen. Beachten Sie den `aws:SourceArn` Parameter im Condition-Block. Der Ressourcenqualifizierer wird unter Verwendung des Modellendpunkts erstellt, der für den `PutExternalModel` API-Aufruf bereitgestellt wird. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "frauddetector.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly" } } } ] } ``` ------