# Prevenção do problema "confused deputy" entre serviços
<a name="security-iam-cwim-confused-deputy"></a>

Um representante ou substituto confuso (“confused deputy”) é uma entidade (um serviço ou uma conta) que é coagida por uma entidade diferente a realizar uma ação. Esse tipo de falsificação de identidade pode ocorrer entre contas e serviços.

Para evitar representantes confusos, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços que usam entidades principais de serviço que receberam acesso a recursos em sua Conta da AWS. Esta seção se concentra na prevenção do problema de "confused deputy" entre serviços especificamente para o Monitor de Internet. No entanto, você poderá saber mais sobre esse tópico na seção de [problema de "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) do *Guia do usuário do IAM*.

Para limitar as permissões que o IAM concede ao Internet Monitor para acessar seus recursos, recomendamos usar as chaves de contexto de condições globais [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) em suas políticas de recursos. 

Se você usar essas duas chaves de contexto de condição globais e o valor `aws:SourceArn` contiver o ID da Conta da AWS, o valor `aws:SourceAccount` e a Conta da AWS em `aws:SourceArn` deverão usar o mesmo ID da Conta da AWS quando usados na mesma declaração de política.

Para o Monitor de Internet, você especifica o ID da sua conta para `aws:SourceAccount` e o ARN do seu monitor para `aws:SourceArn`. Para acesso entre serviços, você também usa o ARN do seu monitor para `aws:SourceArn`.

**nota**  
A maneira mais eficaz de se proteger contra o problema de representante confuso é usar a chave de contexto de condição global `aws:SourceArn` com o **ARN completo** do recurso. Se você não souber o ARN completo ou se estiver especificando vários recursos, use a chave de contexto de condição global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, `arn:aws:internetmonitor:us-east-1:{{111122223333}}:*`.

O exemplo é uma política de perfil assumido que mostra como é possível evitar um problema de "confused deputy". 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "internetmonitor.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:internetmonitor:us-east-1:{{111122223333}}:monitor/confused-deputy-monitor"
      },
      "StringEquals": {
        "aws:SourceAccount": "111122223333"
      }
    }
  }
}
```

------