As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention O problema de “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação coage outra entidade mais privilegiada a executar a ação. Na AWS, a personificação entre serviços pode deixar os recursos da conta vulneráveis ao problema de “confused deputy”. A personificação entre serviços ocorre quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode manipular o serviço chamado para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual o serviço de chamada não tem permissão para atuar sozinho. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que têm acesso aos recursos em sua conta. Recomendamos o uso das chaves globais de contexto de condição `aws:SourceArn` e `aws:SourceAccount` em políticas de recursos para limitar as permissões ao acessar esses recursos. As diretrizes a seguir detalham as recomendações e os requisitos ao usar essas chaves para proteger recursos: + Use `aws:SourceArn` se quiser apenas um recurso associado ao acesso entre serviços. + Use `aws:SourceAccount` se quiser permitir que todos os recursos na conta especificada sejam associados ao uso entre serviços. + Se a chave `aws:SourceArn` não contiver um ID de conta, você deverá usar ambas as chaves globais de contexto de condição (`aws:SourceArn` e `aws:SourceAccount`) para limitar as permissões. + Se você utilizar ambas as chaves globais de contexto de condição e o valor `aws:SourceArn` contiver um ID de conta, a chave `aws:SourceAccount` deverá usar o mesmo ID de conta quando usada na mesma instrução de política. A maneira mais eficaz de se proteger contra o problema de “confused deputy” é usar o nome do recurso da Amazon (ARN) exato do recurso que deseja permitir. Se você não souber o ARN completo do recurso, use a chave global de contexto de condição `aws:SourceArn` com curingas (como \*) para as partes desconhecidas do ARN. Também é possível usar um curinga no ARN se quiser especificar vários recursos. Por exemplo, você pode formatar o ARN como `arn:aws:{{servicename}}::{{region-name}}::{{your Conta da AWS ID}}:*`. **Topics** + [Exemplo: WorkSpaces aplicativos, função de serviço entre serviços, prevenção delegada confusa](example-confused-deputy.md) + [Exemplo: Frota de WorkSpaces aplicativos, função de máquina, serviços cruzados, prevenção delegada confusa](example-fleet-machine.md) + [Exemplo: WorkSpaces aplicativos: script de sessão de frotas elásticas, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa](example-elastic-fleets.md) + [Exemplo: WorkSpaces aplicativos, aplicativo, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa](example-s3-bucket.md)