Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prevenzione del problema "confused deputy" tra servizi
<a name="cross-service-confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. 

Nel frattempo AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. 

Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account. Si consiglia di utilizzare il [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e le chiavi di contesto delle condizioni globali di [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy di trust per i ruoli del servizio di Dimensionamento automatico Amazon EC2. Queste chiavi limitano le autorizzazioni che Dimensionamento automatico Amazon EC2 fornisce a un altro servizio alla risorsa.

I valori per i `SourceAccount` campi `SourceArn` e vengono impostati quando Amazon EC2 Auto AWS Security Token Service Scaling AWS STS utilizza () per assumere un ruolo per tuo conto.

Per utilizzare le chiavi di condizione globali `aws:SourceArn` o `aws:SourceAccount`, impostare il valore sul nome della risorsa Amazon (ARN) o sull'account della risorsa archiviata da Dimensionamento automatico Amazon EC2. Quando possibile, utilizzare `aws:SourceArn`, che è più specifico. Impostare il valore sull'ARN o su un modello dell'ARN con caratteri jolly (`*`) per le parti sconosciute dell'ARN. Se non si conosce l'ARN della risorsa, utilizzare `aws:SourceAccount`.

L'esempio seguente mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` in Dimensionamento automatico Amazon EC2 per prevenire il problema “confused deputy”. 

## Esempio: utilizzo delle chiavi di condizione `aws:SourceArn` e `aws:SourceAccount`
<a name="cross-service-confused-deputy-prevention-example"></a>

Un ruolo che un servizio assume per eseguire operazioni a tuo nome viene chiamato [ruolo del servizio](control-access-using-iam.md#security_iam_service-with-iam-roles-service). Nei casi in cui desideri creare lifecycle hook che inviino notifiche a un luogo diverso da Amazon EventBridge, devi creare un ruolo di servizio per consentire ad Amazon EC2 Auto Scaling di inviare notifiche a un argomento Amazon SNS o a una coda Amazon SQS per tuo conto. Se desideri consentire l'associazione di un solo gruppo con dimensionamento automatico all'accesso tra servizi, è possibile specificare la policy di trust del ruolo del servizio come segue.

Questo esempio di policy di trust utilizza istruzioni della condizione per limitare la capacità di `AssumeRole` sul ruolo di servizio di eseguire solo le operazioni che influiscono sul gruppo con dimensionamento automatico specificato nell'account specificato. Le condizioni `aws:SourceArn` e `aws:SourceAccount` sono valutate in modo indipendente. Qualsiasi richiesta di utilizzare il ruolo di servizio deve soddisfare entrambe le condizioni.

Prima di utilizzare questa policy, è necessario sostituire l'ID dell'account, la Regione, l'UUID e il nome del gruppo con valori validi riferiti al proprio account.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Sid": "ConfusedDeputyPreventionExamplePolicy",
        "Effect": "Allow",
        "Principal": {
            "Service": "autoscaling.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "ArnLike": {
                "aws:SourceArn": "arn:aws:autoscaling:us-east-1:111122223333:autoScalingGroup:uuid:autoScalingGroupName/my-asg"
            },
            "StringEquals": {
                "aws:SourceAccount": "111122223333"
            }
        }
    }
}
```

------

Nell'esempio precedente:
+ L'elemento `Principal` specifica il servizio principale del servizio (`autoscaling.amazonaws.com`). 
+ L'elemento `Action` specifica l'azione `sts:AssumeRole`.
+ L'elemento `Condition` specifica le chiavi di condizione globali `aws:SourceArn` e `aws:SourceAccount`. L'ARN dell'origine include l'ID account, quindi non è necessario utilizzare `aws:SourceAccount` con `aws:SourceArn`.

## Informazioni aggiuntive
<a name="cross-service-confused-deputy-prevention-additional-information"></a>

*Per ulteriori informazioni, consulta [AWS global condition context keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), [The confused deputy problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) e [Update a role trust policy nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).*