Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Cross-service prevención confusa de los diputados En AWS, la suplantación de identidad entre servicios puede ocurrir cuando un servicio (el servicio de llamadas) llama a otro servicio (el servicio llamado). El servicio que lleva a cabo las llamadas se puede manipular para actuar en función de los recursos de otro cliente a pesar de que no debe tener los permisos adecuados, lo que da como resultado un problema de suplente confuso. Para evitar que los agentes confusos, AWS proporciona herramientas que lo ayudan a proteger sus datos en todos los servicios utilizando los directores de servicio a los que se les ha dado acceso a los recursos de su cuenta. Esta sección se centra en la prevención de problemas de suplentes confusos entre servicios específica de Managed Service para Apache Flink; sin embargo, puede obtener más información sobre este tema en la sección [El problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) de la *Guía del usuario de IAM*. En el contexto del servicio gestionado para Apache Flink, te recomendamos que utilices las claves de contexto [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) [y aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) global condition en tu política de confianza de roles para limitar el acceso al rol únicamente a las solicitudes generadas por los recursos esperados. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios. El valor de `aws:SourceArn` debe ser el ARN del recurso utilizado por Managed Service para Apache Flink, que se especifica con el siguiente formato: `arn:aws:kinesisanalytics:region:account:resource`. La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave `aws:SourceArn` con caracteres comodines (\*) para las partes desconocidas del ARN. Por ejemplo: `arn:aws:kinesisanalytics::111122223333:*`. Las políticas de roles que proporcione a Managed Service para Apache Flink, así como las políticas de confianza de los roles generados para usted, pueden utilizar estas claves. Para protegerse contra el problema de suplente confuso, lleve a cabo los siguientes pasos: **Cómo protegerse contra el problema del suplente confuso** 1. Inicie sesión en la consola AWS de administración y abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Elija **Roles** y, a continuación, seleccione el rol que desee modificar. 1. Elija **Editar la política de confianza**. 1. En la página **Editar política de confianza**, sustituya la política JSON predeterminada por una política que utilice una o ambas claves contextuales `aws:SourceArn` y `aws:SourceAccount` de condición global. Consulte el siguiente ejemplo de política: 1. Elija **Actualizar política**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"kinesisanalytics.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"Account ID" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app" } } } ] } ``` ------