As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Prevenção contra o ataque do “substituto confuso” em todos os serviços O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta. Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS DataSync concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global e o valor de `aws:SourceArn` contiver o ID da conta, o valor de `aws:SourceAccount` e a conta no valor de `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser que qualquer recurso nessa conta seja associado ao uso entre serviços. O valor de `aws:SourceArn` deve incluir o ARN do DataSync local com o qual DataSync é permitido assumir a função do IAM. A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo ou estiver especificando vários recursos, use os caracteres curingas (`*`) para as partes desconhecidas. Aqui estão alguns exemplos de como fazer isso para DataSync: + Para limitar a política de confiança a um DataSync local existente, inclua o ARN completo do local na política. DataSync assumirá a função do IAM somente ao lidar com aquele local específico. + Ao criar um local do Amazon S3 para DataSync, você não sabe o ARN do local. Nesses cenários, use o seguinte formato para a chave `aws:SourceArn`: `arn:aws:datasync:us-east-2:123456789012:*`. Este formato valida a partição (`aws`), o ID da conta e a região. O exemplo completo a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto em uma política de confiança para evitar o problema confuso do substituto com DataSync. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] } ``` ------ Para obter mais exemplos de políticas que mostram como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e com DataSync, consulte os tópicos a seguir: + [Crie uma relação de confiança que permita DataSync acessar seu bucket do Amazon S3](using-identity-based-policies.md#datasync-example1) + [Configurar um perfil do IAM para acessar o bucket do Amazon S3](create-s3-location.md#create-role-manually)