Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Dienstübergreifende verwirrte Stellvertreterprävention in HealthImaging Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein serviceübergreifender Identitätswechsel zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Service Principals schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde. Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ihren `ImportJobDataAccessRole` IAM-Richtlinien für Vertrauensbeziehungen zu verwenden, um die Berechtigungen einzuschränken, die AWS einem anderen Service für Ihre Ressource HealthImaging erteilt. Verwenden Sie `aws:SourceArn`, um nur einer Ressource den serviceübergreifenden Zugriff zuzuordnen. Verwenden Sie `aws:SourceAccount`, um jede Ressource in diesem Konto der serviceübergreifenden Nutzung zuzuordnen. Wenn Sie beide Kontextschlüssel für globale Bedingungen verwenden, müssen der `aws:SourceAccount` Wert und das Konto, auf das im `aws:SourceArn` Wert verwiesen wird, dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienerklärung verwendet werden. Der Wert von `aws:SourceArn` muss der ARN des betroffenen Datenspeichers sein. Wenn Sie den vollständigen ARN des Datenspeichers nicht kennen oder wenn Sie mehrere Datenspeicher angeben, verwenden Sie den `aws:SourceArn` globalen Kontextbedingungsschlüssel mit dem Platzhalter \$1 für die unbekannten Teile des ARN. Sie können beispielsweise festlegen `aws:SourceArn` auf`arn:aws:medical-imaging:us-west-2:111122223333:datastore/*`. Im folgenden Beispiel für eine Vertrauensrichtlinie verwenden wir den `aws:SourceAccount` Bedingungsschlüssel `aws:SourceArn` und, um den Zugriff auf den Dienstprinzipal auf der Grundlage des ARN des Datenspeichers einzuschränken, um das Problem des verwirrten Stellvertreters zu vermeiden. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medical-imaging.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:medical-imaging:us-east-1:123456789012:datastore/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] } ``` ------