Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Cross-service confusa prevenzione sostitutiva in AWS
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel frattempo AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. Cross-service*l'impersonificazione può verificarsi quando un servizio (il servizio *chiamante) chiama un altro servizio* (il servizio chiamato).* Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse dell'account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che Connect Customer concede a un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è utilizzare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:{{servicename}}::{{region-name}}::{{your AWS account ID}}:*`.
## Connect Customer Customer Customer Profiles - Prevenzione della confusione interservizio
Gli esempi seguenti mostrano le politiche che si applicano ai casi in cui qualcun altro è impostato come amministratore per Connect Customer Customer Profiles. Utilizza queste policy per evitare il problema "confused deputy".
**Esempio di politica Connect Customer Customer Profiles per creare domini Customer Profile**
**Esempio di politica Connect Customer Customer Profiles per creare tipi di oggetti Customer Profiles**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KeyId}}"
],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/{{CustomerProfilesDomainName}}/objects/{{YourObjectType}}"
},
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
}
}
}
}
```
------
**Esempio di politica Connect Customer Customer Profiles per creare e aggiornare code di lettere non scritte**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Customer Profiles to publish messages to your queue",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:{{us-east-1}}:{{111122223333}}:{{YourDeadLetterQueueName}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}",
"aws:SourceArn": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/{{CustomerProfileDomainName}}"
}
}
}
]
}
```
------
**Esempio di policy Connect Customer Customer Profiles per proteggere il bucket Amazon S3 utilizzato come parte del processo di Identity Resolution**
```
{
"Sid": "Allow Connect Customer Customer Profiles to put S3 objects to your bucket",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{your AWS account ID}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:profile:{{your region name}}:{{your AWS account ID}}:domains/*"
}
}
}
```
## Connect Customer Voice ID multiservizio, prevenzione della confusione
Il seguente esempio di Voice ID mostra una policy delle risorse da applicare per evitare il problema "confused deputy".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "voiceid.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:voiceid:{{us-east-1}}:{{111122223333}}:domain/{{YourVoiceIDDomain}}"
},
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
}
}
}
}
```
------
## Connect Customer, chat, streaming di messaggi su più servizi, prevenzione della confusione
Il seguente esempio di Connect Customer mostra una politica delle risorse da applicare per prevenire il problema del confuso assistente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"connect.amazonaws.com"
},
"Action":"sns:Publish",
"Resource":"arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{TopicName}}",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"{{111122223333}}"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{InstanceId}}"
}
}
}
]
}
```
------