Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Cross-service confusa prevenzione sostitutiva Un "confused deputy" è un'entità (un servizio o un account) costretta da un'altra entità a compiere un'azione. Questo tipo di impersonificazione può avvenire tra diversi account e tra diversi servizi. Per evitare la confusione dei dipendenti, AWS fornisce strumenti che consentono di proteggere i dati per tutti i servizi utilizzando gestori di servizi a cui è stato concesso l'accesso alle risorse del vostro. Account AWS Questa sezione si concentra sulla prevenzione del "confused deputy" dei servizi trasversali specifico di Monitor Internet; tuttavia, puoi saperne di più su questo argomento nella sezione [Problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) della *Guida per l'utente di IAM *. Per limitare le autorizzazioni concesse a Internet Monitor per accedere alle risorse, consigliamo di utilizzare le chiavi di contesto della condizione globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)nelle politiche relative alle risorse. IAM Se si utilizzano entrambe queste chiavi di contesto della condizione globale e il `aws:SourceArn` valore contiene l' Account AWS ID, il `aws:SourceAccount` valore e l' Account AWS in `aws:SourceArn` devono utilizzare lo stesso Account AWS ID quando vengono utilizzati nella stessa dichiarazione di policy. Per Monitor Internet, è necessario specificare l'ID dell'account `aws:SourceAccount` e l'ARN del monitor per `aws:SourceArn`. Per l'accesso a più servizi, puoi utilizzare anche l'ARN del tuo monitor per `aws:SourceArn`. **Nota** Il modo più efficace per proteggersi dal problema del "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l'**ARN completo** della risorsa. Se non si conosce l'ARN completo o se si sta specificando più risorse, utilizzare la chiave di condizione del contesto globale `aws:SourceArn` con caratteri speciali (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:internetmonitor:us-east-1:{{111122223333}}:*`. Di seguito è riportato un esempio di policy "assume role" che mostra come puoi prevenire un problema "confused deputy". ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "internetmonitor.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:{{111122223333}}:monitor/confused-deputy-monitor" }, "StringEquals": { "aws:SourceAccount": "111122223333" } } } } ``` ------