**Aviso de fim do suporte**: em 20 de fevereiro de 2026, AWS encerrará o suporte para o serviço Amazon Chime. Após 20 de fevereiro de 2026, não será mais possível acessar o console do Amazon Chime ou os recursos de aplicação do Amazon Chime. Para obter mais informações, acesse esta [publicação no blog](https://aws.amazon.com/blogs/messaging-and-targeting/update-on-support-for-amazon-chime/). **Nota:** Isso não afeta a disponibilidade do serviço [Amazon Chime SDK](https://aws.amazon.com/chime/chime-sdk/).

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Prevenção do problema "confused deputy" entre serviços
<a name="confused-deputy"></a>

O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação chama uma entidade mais privilegiada a executar a ação. Isso pode permitir que agentes mal-intencionados executem comandos ou modifiquem recursos que, de outra forma, não teriam permissão para executar ou acessar. Para obter mais informações, consulte [O problema de “confused deputy”](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) no *Guia do usuário do AWS Identity and Access Management *.

Em AWS, a falsificação de identidade entre serviços pode levar a um cenário confuso de delegado. A personificação entre serviços ocorre quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). Um agente mal-intencionado pode usar o serviço de chamada para alterar recursos em outro serviço utilizando permissões que normalmente não teria.

AWS fornece aos diretores de serviços acesso gerenciado aos recursos em sua conta para ajudá-lo a proteger a segurança de seus recursos. Recomendamos usar a chave de contexto de condição global `aws:SourceAccount` em suas políticas de recursos. Essas chaves limitam as permissões que o Amazon Chime concede a outro serviço para este atributo.

O exemplo a seguir mostra uma política de bucket do S3 que usa a chave de contexto de condição global `aws:SourceAccount` no bucket do S3 `CallDetailRecords` configurado para evitar o problema de substituto confuso.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "{{AmazonChimeAclCheck668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}"
        },
        {
            "Sid": "{{AmazonChimeWrite668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "{{bucket-owner-full-control}}",
                    "aws:SourceAccount": "{{112233446677}}" 
                }
            }
        }
    ]
}
```

------