Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prevenzione intersettoriale confusa dei sostituti in HealthImaging Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. In AWS, l'impersonificazione tra servizi può dare origine al problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS fornisce strumenti che ti aiutano a proteggere i tuoi dati per tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del tuo account. Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle policy di relazione di fiducia dei ruoli `ImportJobDataAccessRole` IAM per limitare le autorizzazioni che AWS HealthImaging concede a un altro servizio alla tua risorsa. Utilizza `aws:SourceArn` per associare una sola risorsa all'accesso tra servizi. Utilizza `aws:SourceAccount` se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi. Se utilizzi entrambe le chiavi di contesto della condizione globale, il `aws:SourceAccount` valore e l'account a cui si fa riferimento nel `aws:SourceArn` valore devono utilizzare lo stesso ID account quando vengono utilizzati nella stessa dichiarazione politica. Il valore di `aws:SourceArn` deve essere l'ARN dell'archivio dati interessato. Se non conosci l'ARN completo del data store o se stai specificando più archivi dati, usa la chiave `aws:SourceArn` global context condition con il carattere jolly \$1 per le parti sconosciute dell'ARN. Ad esempio, puoi impostare su. `aws:SourceArn` `arn:aws:medical-imaging:us-west-2:111122223333:datastore/*` Nel seguente esempio di politica di fiducia, utilizziamo la chiave `aws:SourceArn` and `aws:SourceAccount` condition per limitare l'accesso al principale del servizio in base all'ARN del data store per evitare il confuso problema del vice. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "medical-imaging.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:medical-imaging:us-east-1:123456789012:datastore/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] } ``` ------