Amazon Fraud Detector non è più aperto a nuovi clienti a partire dal 7 novembre 2025. Per funzionalità simili a Amazon Fraud Detector, esplora Amazon SageMaker AutoGluon, e. AWS WAF Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prevenzione del "confused deputy" Il problema del vicesceriffo si verifica quando un'entità che non è autorizzata a eseguire un'azione può costringere un'entità con più privilegi a eseguire l'azione. AWS fornisce strumenti che ti aiutano a proteggere il tuo account se fornisci a terze parti (chiamati *cross-account) o altri AWS servizi (chiamati *cross-service**) l'accesso alle risorse del tuo account. Cross-service un problema di confusione secondaria può verificarsi quando un servizio (il *servizio chiamante*) chiama un altro servizio (il servizio *chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò si verifichi, potete creare policy che vi aiutino a proteggere i dati di tutti i servizi affidando ai responsabili del servizio l'accesso alle risorse del servizio. Amazon Fraud Detector supporta l'utilizzo [dei ruoli di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) nelle tue politiche di autorizzazione per consentire a un servizio di accedere alle risorse di un altro servizio per tuo conto. Un ruolo richiede due policy: una policy di attendibilità del ruolo, che specifica il principale a cui è consentito assumere il ruolo, e una policy delle autorizzazioni, che specifica le operazioni da eseguire con il ruolo. Quando un servizio assume un ruolo per tuo conto, il principale del servizio deve essere autorizzato a svolgere l'operazione `sts:AssumeRole` nella policy di attendibilità del ruolo. Quando un servizio chiama`sts:AssumeRole`, AWS STS restituisce un set di credenziali di sicurezza temporanee che il responsabile del servizio utilizza per accedere alle risorse consentite dalla politica di autorizzazione del ruolo. Per evitare il problema della confusione tra i vari servizi, Amazon Fraud Detector consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)e le chiavi di contesto della condizione globale nella politica di fiducia dei ruoli per limitare l'accesso al ruolo solo alle richieste generate dalle risorse previste. `aws:SourceAccount`specifica l'ID account e `aws:SourceArn` specifica l'ARN della risorsa associata all'accesso tra servizi. `aws:SourceArn`Deve essere specificato utilizzando il formato [ARN.](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) Assicurati che entrambi `aws:SourceAccount` utilizzino lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica. `aws:SourceArn` Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non conosci l'ARN completo della risorsa o se stai specificando più risorse, usa la chiave `aws:SourceArn` global context condition con un wildcard (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:{{servicename}}:*:{{123456789012}}:*`. Per informazioni sulle risorse e le azioni di Amazon Fraud Detector che puoi utilizzare nelle tue politiche di autorizzazione, consulta [Azioni, risorse e codici di condizione per Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies). Il seguente esempio di policy di role trust utilizza wildcard (\*) nella chiave di `aws:SourceArn` condizione per consentire ad Amazon Fraud Detector di accedere a più risorse associate all'ID account. La seguente politica di trust dei ruoli consente ad Amazon Fraud Detector di accedere solo `external-model` alle risorse. Notate il `aws:SourceArn` parametro nel blocco Condition. Il qualificatore di risorse viene creato utilizzando l'endpoint del modello fornito per effettuare la chiamata API. `PutExternalModel` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "frauddetector.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly" } } } ] } ``` ------