Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Cross-service confusa prevenzione sostitutiva Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vicesceriffo. Cross-service *l'impersonificazione può verificarsi quando un servizio (il servizio *chiamante) chiama un altro servizio* (il servizio chiamato).* Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse del tuo account. Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon Personalize fornisce a un altro servizio alla risorsa. Per evitare il problema confuso del sostituto nei ruoli assunti da Amazon Personalize, nella politica di fiducia del ruolo imposta il valore di `aws:SourceArn` to. `arn:aws:personalize:{{region}}:{{accountNumber}}:*` Il carattere wildcard (`*`) applica la condizione per tutte le risorse Amazon Personalize. La seguente politica sulle relazioni di fiducia concede ad Amazon Personalize l'accesso alle tue risorse e utilizza `aws:SourceArn` le chiavi di contesto `aws:SourceAccount` e di condizione globale per prevenire il confuso problema del vice. Utilizza questa politica quando crei un ruolo per Amazon Personalize ()[Creazione di un ruolo IAM per Amazon Personalize](set-up-required-permissions.md#set-up-create-role-with-permissions). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "personalize.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{111122223333}}" }, "ArnLike": { "aws:SourceArn": "arn:aws:personalize:{{us-east-1}}:{{444455556666}}:*" } } } ] } ``` ------