Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prevenzione del problema "confused deputy" tra servizi
<a name="cross-service-confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra diversi servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, Amazon Web Services fornisce strumenti per aiutarti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account. 

Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni concesse a un altro servizio per l'accesso alle tue risorse. AWS Audit Manager 
+ Utilizza `aws:SourceArn`se desideri consentire l'associazione di una sola risorsa all'accesso tra servizi. Se desideri specificare più risorse, puoi anche usare `aws:SourceArn` con un carattere jolly (`*`).

  Ad esempio, potresti utilizzare un argomento Amazon SNS per ricevere notifiche di attività da Gestione audit. In questo caso, nella policy di accesso agli argomenti SNS, il valore ARN `aws:SourceArn` è la risorsa Gestione audit da cui proviene la notifica. Poiché è probabile che tu disponga di più risorse Gestione audit, ti consigliamo di utilizzare `aws:SourceArn` con un carattere jolly. In questo modo puoi specificare tutte le risorse di Gestione audit nella policy di accesso agli argomenti SNS. 
+ Utilizza `aws:SourceAccount`se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi. 
+ Se il valore `aws:SourceArn`non contiene l'ID account, ad esempio un ARN del bucket Amazon S3, devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. 
+ Se utilizzi entrambe le condizioni globali e il valore `aws:SourceArn` contiene l’ID account, il valore `aws:SourceAccount` e l’account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account quando viene utilizzato nella stessa dichiarazione di policy.
+ Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn`con l'ARN completo della risorsa. Se non conosci il nome della risorsa Amazon (ARN) completo della risorsa o scegli più risorse, utilizza la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`. 

## Supporto confused deputy Gestione audit
<a name="audit-manager-confused-deputy-support"></a>

Gestione audit fornisce un supporto confused deputy nei seguenti scenari. Gli esempi di policy seguenti mostrano il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` per prevenire il problema confused deputy.
+ [Policy di esempio: l’argomento SNS utilizzato per ricevere le notifiche di Gestione audit](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [Policy di esempio: la chiave KMS che usi per crittografare il tuo argomento SNS](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

Gestione audit non fornisce un supporto confused deputy per la chiave gestita dal cliente fornita nelle impostazioni [Configurazione delle impostazioni di crittografia dei dati](settings-KMS.md) di Gestione audit. Se hai fornito la tua chiave gestita dal cliente, non puoi utilizzare le condizioni `aws:SourceAccount` o `aws:SourceArn`contenute in tale policy della chiave KMS.