Administrador de incidentes de AWS Systems Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Administrador de incidentes de AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html). Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Prevención de suplente confuso entre servicios en Incident Manager El problema del suplente confuso es un problema de seguridad que se produce cuando una entidad sin permiso para realizar una acción llama a una entidad con más privilegios para que la realice. Esto puede permitir que actores malintencionados ejecuten comandos o modifiquen recursos para los que, de otro modo, no tendrían permiso de ejecución ni acceso. En este caso AWS, la suplantación de identidad entre varios servicios puede llevar a un escenario confuso a un diputado. La suplantación entre servicios ocurre cuando un servicio (el *servicio que realiza las llamadas*) llama a otro servicio (el *servicio al que se llama*). Un actor malintencionado puede utilizar el servicio de llamadas para alterar los recursos de otro servicio mediante permisos que normalmente no tendría. AWS proporciona a los directores de servicio acceso gestionado a los recursos de tu cuenta para ayudarte a proteger la seguridad de tus recursos. Recomendamos utilizar las claves de contexto de condición global de [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en sus políticas de recursos. Estas claves limitan los permisos que Administrador de incidentes de AWS Systems Manager otorgan otro servicio a ese recurso. Si se utilizan ambas claves de contexto de condición global, el valor `aws:SourceAccount` y la cuenta referenciada en el valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política. El valor de `aws:SourceArn` debe ser el ARN del registro del incidente afectado. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con el comodín (`*`) para las partes desconocidas del ARN. Por ejemplo, puede establecer `aws:SourceArn` para `arn:aws:ssm-incidents::111122223333:*`. En el siguiente ejemplo de política de confianza, utilizamos la clave de condición `aws:SourceArn` para restringir el acceso al rol de servicio en función del ARN del registro de incidentes. Solo los registros de incidentes creados a partir del recurso del plan de respuesta `myresponseplan` pueden utilizar este rol. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*" } } } } ``` ------