Aviso de fim do suporte: em 20 de maio de 2026, AWS encerrará o suporte para AWS IoT Events. Depois de 20 de maio de 2026, você não poderá mais acessar o AWS IoT Events console ou os AWS IoT Events recursos. Para obter mais informações, consulte [AWS IoT Events Fim do suporte](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Prevenção confusa de delegados entre serviços para AWS IoT Events
**nota**
O AWS IoT Events serviço só permite que você use funções para iniciar ações na mesma conta na qual um recurso foi criado. Isso ajuda a evitar um confuso ataque policial em AWS IoT Events.
Esta página serve como referência para você ver como o problema confuso de deputados funciona e pode ser evitado caso recursos cruzados de contas sejam permitidos no AWS IoT Events serviço.
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado.
A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS IoT Events concedem outro serviço ao recurso. Se o valor de `aws:SourceArn` não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor `aws:SourceArn` contém o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma declaração de política.
Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. O valor de `aws:SourceArn` deve ser o modelo do detector ou o modelo de alarme associado à solicitação `sts:AssumeRole`.
A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:iotevents:*:123456789012:*`
Os exemplos a seguir mostram como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS IoT Events para evitar o confuso problema substituto.
**Topics**
+ [Exemplo: acesso seguro a um modelo AWS IoT Events de detector](accessing-a-detector-model.md)
+ [Exemplo: acesso seguro a um modelo AWS IoT Events de alarme](accessing-an-alarm-model.md)
+ [Exemplo: acessar um AWS IoT Events recurso em uma região especificada](accessing-resource-in-specified-region.md)
+ [Exemplo: Configurar opções de registro para AWS IoT Events](logging-options.md)
# Exemplo: acesso seguro a um modelo AWS IoT Events de detector
Este exemplo demonstra como criar uma política de IAM que concede acesso seguro a um modelo de detector específico em. AWS IoT Events A política usa condições para garantir que somente a AWS conta e o AWS IoT Events serviço especificados possam assumir a função, adicionando uma camada extra de segurança. Neste exemplo, a função só pode acessar o modelo de detector chamado*WindTurbine01*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/WindTurbine01"
}
}
}
]
}
```
------
# Exemplo: acesso seguro a um modelo AWS IoT Events de alarme
Este exemplo demonstra como criar uma política do IAM que permite AWS IoT Events acessar modelos de alarme com segurança. A política usa condições para garantir que somente a AWS conta e o AWS IoT Events serviço especificados possam assumir a função.
Neste exemplo, a função pode acessar qualquer modelo de alarme dentro da AWS conta especificada, conforme indicado pelo caractere `*` curinga no ARN do modelo de alarme. As `aws:SourceArn` condições `aws:SourceAccount` e funcionam juntas para evitar o confuso problema do deputado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
}
}
}
]
}
```
------
# Exemplo: acessar um AWS IoT Events recurso em uma região especificada
Este exemplo demonstra como configurar uma função do IAM para acessar AWS IoT Events recursos em uma AWS região específica. Ao usar regiões específicas ARNs em suas políticas do IAM, você pode restringir o acesso a AWS IoT Events recursos em diferentes áreas geográficas. Essa abordagem pode ajudar a manter a segurança e a conformidade em implantações em várias regiões. A região neste exemplo é*us-east-1*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Exemplo: Configurar opções de registro para AWS IoT Events
O registro adequado é importante para monitorar, depurar e auditar seus aplicativos. AWS IoT Events Esta seção fornece uma visão geral das opções de registro disponíveis em AWS IoT Events.
Este exemplo demonstra como configurar uma função do IAM que permite AWS IoT Events registrar dados no CloudWatch Logs. O uso de curingas (`*`) no ARN do recurso permite um registro abrangente em AWS IoT Events sua infraestrutura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"iotevents.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:iotevents:us-east-1:123456789012:*"
}
}
}
]
}
```
------