As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Prevenção contra o ataque “confused deputy” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente, de uma forma que não deveria ter permissão para acessar. Para evitar isso, o Amazon Web Services fornece ferramentas que ajudam a proteger seus dados para todos os serviços, com entidades principais de serviço que receberem acesso aos recursos em sua conta. 

Recomendamos usar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global nas políticas de recursos para limitar as permissões AWS Audit Manager concedidas a outro serviço para acessar seus recursos. 
+ Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Você também pode usar `aws:SourceArn` com um curinga (`*`) se quiser especificar vários recursos.

  Por exemplo, você pode usar um tópico do Amazon SNS para receber notificações de atividade do Audit Manager. Nesse caso, em sua política de acesso a tópicos do SNS, o valor do ARN de `aws:SourceArn` é o recurso do Audit Manager de onde vem a notificação. Como é provável que você tenha vários recursos do Audit Manager, recomendamos que você use `aws:SourceArn` com um caractere curinga. Isso permite que você especifique todos os recursos do Audit Manager em sua política de acesso a tópicos do SNS. 
+ Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. 
+ Se o valor `aws:SourceArn` não contiver a ID da conta, como um ARN de bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. 
+ Se utilizar ambas as condições e o valor `aws:SourceArn` contiver a ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma instrução de política.
+ A maneira mais eficaz de proteger-se contra o problema “confused deputy” é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o nome completo do recurso da Amazon (ARN) ou estiver especificando vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, `arn:aws:servicename:*:123456789012:*`. 

## Suporte Audit Manager a “confused deputy”
<a name="audit-manager-confused-deputy-support"></a>

O Audit Manager fornece suporte a “confused deputy” nos seguintes cenários: O exemplo a seguir mostra como é possível usar as chaves de condição `aws:SourceArn` e `aws:SourceAccount` para evitar o problema “confused deputy.”
+ [Exemplo de política: o tópico do SNS que você usa para receber notificações do Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [Exemplo de política: a chave KMS que você usa para criptografar seu tópico do SNS](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

O Audit Manager não fornece suporte a “confused deputy” para a chave gerenciada pelo cliente fornecida por você nas configurações [Como definir suas configurações de criptografia de dados](settings-KMS.md) do Audit Manager. Se você forneceu sua própria chave gerenciada pelo cliente, não poderá usar as condições `aws:SourceAccount` ou `aws:SourceArn` dessa política de chaves do KMS.