O Amazon Fraud Detector não está mais aberto a novos clientes a partir de 7 de novembro de 2025. Para recursos semelhantes ao Amazon Fraud Detector SageMaker, explore Amazon AutoGluon, AWS WAF e. As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Prevenção contra representante confuso O problema confuso do deputado ocorre quando uma entidade que não tem permissão para realizar uma ação pode coagir uma entidade mais privilegiada a realizar a ação. AWS fornece ferramentas que ajudam você a proteger sua conta se você fornecer acesso a terceiros (chamado de *contas cruzadas*) ou outros AWS serviços (chamado de *serviços cruzados*) aos recursos em sua conta. Cross-service um problema confuso de delegado pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, você pode criar políticas que ajudem a proteger seus dados para todos os serviços com diretores de serviço que receberam acesso aos recursos do seu serviço. O Amazon Fraud Detector suporta o uso de [funções de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em suas políticas de permissão para permitir que um serviço acesse os recursos de outro serviço em seu nome. Uma função requer duas políticas: uma política de confiança de função que especifica qual entidade principal tem permissão para assumir a função e uma política de permissões que especifica o que pode ser feito com a função. Quando um serviço assume uma função em seu nome, a entidade principal de serviço deve ter permissão para executar a ação `sts:AssumeRole` na política de confiança de função. Quando um serviço é chamado`sts:AssumeRole`, AWS STS retorna um conjunto de credenciais de segurança temporárias que o responsável pelo serviço usa para acessar os recursos permitidos pela política de permissões da função. Para evitar problemas confusos entre serviços, o Amazon Fraud Detector recomenda usar [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)as chaves de contexto de condições [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globais em sua política de confiança de função para limitar o acesso à função somente às solicitações geradas pelos recursos esperados. `aws:SourceAccount`Especifica a ID da conta e `aws:SourceArn` especifica o ARN do recurso associado ao acesso entre serviços. O `aws:SourceArn` deve ser especificado usando o formato [ARN.](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) Certifique-se de que ambos `aws:SourceAccount` `aws:SourceArn` estejam usando o mesmo ID de conta quando usados na mesma declaração de política. A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave de condição de contexto `aws:SourceArn` global com um curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:{{servicename}}:*:{{123456789012}}:*` Para obter informações sobre os recursos e ações do Amazon Fraud Detector que você pode usar em suas políticas de permissão, consulte [Ações, recursos e chaves de condição do Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies). O exemplo de política de confiança de função a seguir usa o caractere curinga (\*) na chave de `aws:SourceArn` condição para permitir que o Amazon Fraud Detector acesse vários recursos associados à ID da conta. A política de confiança de funções a seguir permite que o Amazon Fraud Detector acesse somente `external-model` recursos. Observe o `aws:SourceArn` parâmetro no bloco de condições. O qualificador de recursos é criado usando o endpoint do modelo fornecido para fazer a chamada à `PutExternalModel` API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "frauddetector.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly" } } } ] } ``` ------