AWS Systems Manager Incident Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Mudança de disponibilidade do AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html). As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Cross-service delegado de prevenção confuso no Incident Manager O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação chama uma entidade mais privilegiada a executar a ação. Isso pode permitir que agentes mal-intencionados executem comandos ou modifiquem recursos que, de outra forma, não teriam permissão para executar ou acessar. Em AWS, a falsificação de identidade entre serviços pode levar a um cenário confuso de delegado. Cross-service personificação é quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). Um agente mal-intencionado pode usar o serviço de chamada para alterar atributos em outro serviço usando permissões que normalmente não teria. AWS fornece aos diretores de serviços acesso gerenciado aos recursos em sua conta para ajudá-lo a proteger a segurança de seus recursos. Recomendamos usar[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) as chaves de contexto de condição globais nas políticas de atributos. Essas chaves limitam as permissões que AWS Systems Manager Incident Manager concedem outro serviço a esse recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta referenciada no valor `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política. O valor de `aws:SourceArn` deve ser o ARN do registro do incidente afetado. Se você não souber o ARN completo do atributo ou estiver especificando vários atributos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, você pode usar o `aws:SourceArn` para `arn:aws:ssm-incidents::{{111122223333}}:*`. No exemplo de política de confiança de perfil a seguir, você pode usar a chave de condição `aws:SourceArn` para restringir o acesso ao perfil de serviço com base no ARN do registro de incidente. Somente registros de incidentes criados com base no atributo do plano de resposta `myresponseplan` são capazes de usar esse perfil. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "{{arn:aws:ssm-incidents:*:111122223333:incident-record/myresponseplan/*}}" } } } } ``` ------