Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Prevenzione complementare e confusa tra diversi servizi in Stacks OpsWorks
<a name="cross-service-confused-deputy-prevention-stacks"></a>

**Importante**  
Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il Supporto AWS Team su [AWS re:post](https://repost.aws/) o tramite Premium [AWS Support](https://aws.amazon.com/support).

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi diversi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.

Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche di accesso allo stack per limitare le autorizzazioni che AWS OpsWorks Stacks fornisce agli stack con un altro servizio. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l’account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizza `aws:SourceArn` se desideri che venga associato un solo stack all'accesso tra servizi. `aws:SourceAccount`Utilizzalo se desideri consentire l'associazione di qualsiasi stack di quell'account all'utilizzo tra servizi.

Il valore di `aws:SourceArn` deve essere l'ARN di uno OpsWorks stack.

Il modo più efficace per proteggersi dal confuso problema del vice consiste nell'utilizzare la chiave `aws:SourceArn` global condition context con l'ARN completo dello OpsWorks stack Stacks. Se non conosci l'ARN completo o se stai specificando più stack ARNs, usa la chiave `aws:SourceArn` global context condition con wildcards (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`.

La sezione seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition in OpsWorks Stacks per evitare il confuso problema del vice.

## Evita gli exploit confusi dei vice in Stacks OpsWorks
<a name="confused-deputy-opsworks-stacks-procedure"></a>

Questa sezione descrive come contribuire a prevenire la confusione degli exploit dei deputati in OpsWorks Stacks e include esempi di policy di autorizzazione che puoi associare al ruolo IAM che stai utilizzando per accedere a Stacks. OpsWorks Come best practice in materia di sicurezza, ti consigliamo di aggiungere le chiavi `aws:SourceArn` e `aws:SourceAccount` condition alle relazioni di fiducia che il tuo ruolo IAM intrattiene con altri servizi. Le relazioni di fiducia consentono a OpsWorks Stacks di assumere il ruolo di eseguire azioni in altri servizi necessari per creare o gestire i tuoi OpsWorks stack Stacks.

**Per modificare le relazioni di fiducia per aggiungere `aws:SourceArn` e condizionare le chiavi `aws:SourceAccount`**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.

1. Nella casella **di ricerca**, cerca il ruolo che utilizzi per accedere a OpsWorks Stacks. Il ruolo AWS gestito è`aws-opsworks-service-role`.

1. Nella pagina di **riepilogo** del ruolo, scegli la scheda **Relazioni di fiducia**.

1. Nella scheda **Relazioni di fiducia**, scegli **Modifica politica di fiducia**.

1. Nella pagina **Modifica politica di fiducia**, aggiungi almeno una delle chiavi `aws:SourceArn` o delle `aws:SourceAccount` condizioni alla politica. Utilizzalo `aws:SourceArn` per limitare la relazione di fiducia tra servizi incrociati (come Amazon EC2) e OpsWorks Stacks a stack Stacks specifici OpsWorks , il che è più restrittivo. Aggiungi `aws:SourceAccount` per limitare la relazione di fiducia tra cross services e OpsWorks Stacks agli stack di un account specifico, il che è meno restrittivo. Di seguito è riportato un esempio di : Tieni presente che se utilizzi entrambe le chiavi di condizione, l'account IDs deve essere lo stesso.

1. Quando hai finito di aggiungere le chiavi di condizione, scegli **Aggiorna politica**.

Di seguito sono riportati altri esempi di ruoli che limitano l'accesso agli stack utilizzando `aws:SourceArn` and`aws:SourceAccount`.

**Topics**
+ [Esempio: accesso agli stack in una regione specifica](#confused-deputy-opsworks-stacks-example1)
+ [Esempio: aggiunta di più di uno stack ARN a `aws:SourceArn`](#confused-deputy-opsworks-stacks-example2)

### Esempio: accesso agli stack in una regione specifica
<a name="confused-deputy-opsworks-stacks-example1"></a>

La seguente dichiarazione sulla relazione di fiducia tra i ruoli accede a qualsiasi OpsWorks stack Stacks nella regione Stati Uniti orientali (Ohio) (). `us-east-2` Nota che la regione è specificata nel valore ARN di`aws:SourceArn`, ma il valore dell'ID dello stack è un carattere jolly (\$1).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opsworks.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:opsworks:us-east-2:123456789012:stack/*"
        }
      }
    }
  ]
}
```

------

### Esempio: aggiunta di più di uno stack ARN a `aws:SourceArn`
<a name="confused-deputy-opsworks-stacks-example2"></a>

L'esempio seguente limita l'accesso a una matrice di due OpsWorks stack di stack nell'account ID 123456789012.