As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Evitar personificação entre serviços Em AWS, a falsificação de identidade entre serviços pode resultar em um problema *confuso* de delegado. Quando um serviço chama outro, a personificação entre serviços ocorre se um serviço manipula o outro para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual ele não é permitido. Para evitar esse ataque, AWS fornece ferramentas para ajudar você a proteger seus dados, para que somente os serviços com permissão legítima possam ter acesso aos recursos da sua conta. Recomendamos o uso das condições `aws:SourceArn` e `aws:SourceAccount` em suas políticas para limitar as permissões que o AWS Control Tower concede a outro serviço para acessar seus recursos. + Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. + Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. + Se o valor de `aws:SourceArn` não contiver o ID da conta, como o ARN de um bucket do Amazon S3, você deverá usar as duas condições para limitar as permissões. + Se utilizar ambas as condições e o valor de `aws:SourceArn` contiver o ID da conta, o valor de `aws:SourceAccount` e a conta no valor de `aws:SourceArn` deverão utilizar o mesmo ID de conta quando usado na mesma instrução de política. Para ter mais informações e exemplos, consulte [https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).