Pemberitahuan akhir dukungan: Pada 20 Mei 2026, AWS akan mengakhiri dukungan untuk AWS IoT Events. Setelah 20 Mei 2026, Anda tidak akan lagi dapat mengakses AWS IoT Events konsol atau AWS IoT Events sumber daya. Untuk informasi selengkapnya, lihat [AWS IoT Events akhir dukungan](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pencegahan deputi kebingungan lintas layanan untuk AWS IoT Events
**catatan**
AWS IoT Events Layanan ini hanya memungkinkan Anda untuk menggunakan peran untuk memulai tindakan di akun yang sama di mana sumber daya dibuat. Ini membantu mencegah serangan wakil yang membingungkan AWS IoT Events.
Halaman ini berfungsi sebagai referensi bagi Anda untuk melihat bagaimana masalah wakil yang membingungkan bekerja dan dapat dicegah jika sumber daya lintas akun diizinkan dalam AWS IoT Events layanan.
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan.
Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS IoT Events memberikan layanan lain ke sumber daya. Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan. Nilai `aws:SourceArn` harus Model Detektor atau model Alarm yang terkait dengan `sts:AssumeRole` permintaan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:iotevents:*:123456789012:*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan AWS IoT Events untuk mencegah masalah wakil yang membingungkan.
**Topics**
+ [Contoh: Akses aman ke model AWS IoT Events detektor](accessing-a-detector-model.md)
+ [Contoh: Akses aman ke model AWS IoT Events alarm](accessing-an-alarm-model.md)
+ [Contoh: Mengakses AWS IoT Events sumber daya di wilayah tertentu](accessing-resource-in-specified-region.md)
+ [Contoh: Konfigurasikan opsi logging untuk AWS IoT Events](logging-options.md)
# Contoh: Akses aman ke model AWS IoT Events detektor
Contoh ini menunjukkan cara membuat kebijakan IAM yang secara aman memberikan akses ke model detektor tertentu di. AWS IoT Events Kebijakan menggunakan kondisi untuk memastikan bahwa hanya AWS akun dan AWS IoT Events layanan tertentu yang dapat mengambil peran tersebut, menambahkan lapisan keamanan tambahan. Dalam contoh ini, peran hanya dapat mengakses model detektor bernama*WindTurbine01*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/WindTurbine01"
}
}
}
]
}
```
------
# Contoh: Akses aman ke model AWS IoT Events alarm
Contoh ini menunjukkan cara membuat kebijakan IAM yang memungkinkan AWS IoT Events untuk mengakses model alarm dengan aman. Kebijakan menggunakan ketentuan untuk memastikan bahwa hanya AWS akun dan AWS IoT Events layanan yang ditentukan yang dapat mengambil peran tersebut.
Dalam contoh ini, peran dapat mengakses model alarm apa pun dalam AWS akun yang ditentukan, seperti yang ditunjukkan oleh `*` wildcard dalam model alarm ARN. Kondisi `aws:SourceAccount` dan `aws:SourceArn` kondisi bekerja sama untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
}
}
}
]
}
```
------
# Contoh: Mengakses AWS IoT Events sumber daya di wilayah tertentu
Contoh ini menunjukkan cara mengkonfigurasi peran IAM untuk mengakses AWS IoT Events sumber daya di wilayah tertentu AWS . Dengan menggunakan wilayah khusus ARNs dalam kebijakan IAM Anda, Anda dapat membatasi akses ke AWS IoT Events sumber daya di berbagai wilayah geografis. Pendekatan ini dapat membantu menjaga keamanan dan kepatuhan dalam penerapan multi-wilayah. Wilayah dalam contoh ini adalah*us-east-1*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Contoh: Konfigurasikan opsi logging untuk AWS IoT Events
Pencatatan yang tepat penting untuk memantau, men-debug, dan mengaudit aplikasi Anda AWS IoT Events . Bagian ini memberikan ikhtisar opsi pencatatan yang tersedia di AWS IoT Events.
Contoh ini menunjukkan cara mengkonfigurasi peran IAM yang memungkinkan AWS IoT Events untuk mencatat data ke CloudWatch Log. Penggunaan wildcard (`*`) di ARN sumber daya memungkinkan pencatatan komprehensif di seluruh AWS IoT Events infrastruktur Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------