AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 防止跨服务混淆代理
<a name="cross-service-confused-deputy-prevention"></a>

混淆代理问题是一个安全性问题，即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS，跨服务模仿可能会导致混乱的副手问题。一个服务（*呼叫服务*）调用另一项服务（*所谓的服务*）时，可能会发生跨服务模拟。可以操纵调用服务来使用其权限，以对另一个客户的资源进行操作（当它不具有权限来这么做时）。为了防止这种情况，Amazon Web Services 提供可帮助您保护所有服务的服务主体数据的工具，这些服务主体有权限访问账户中的资源。

我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制授 AWS Audit Manager 予其他服务访问您的资源的权限。
+ 如果您只希望将一个资源与跨服务访问相关联，请使用。`aws:SourceArn`如果要指定多个资源，也可以将 `aws:SourceArn` 与通配符 (`*`) 一起使用。

  例如，您可以使用 Amazon SNS 主题从 Audit Manager 接收活动通知。在本例中，在您的 SNS 主题访问策略中，`aws:SourceArn` 的 ARN 值是通知来自的 Audit Manager 资源。由于您可能有多个 Audit Manager 资源，因此我们建议您将 `aws:SourceArn` 与通配符一起使用。这使您能够在 SNS 主题访问策略中指定所有 Audit Manager 资源。
+ 如果您想允许该账户中的任何资源与跨服务使用操作相关联，请使用。`aws:SourceAccount`
+ 如果 `aws:SourceArn` 值不包含账户 ID，例如 Amazon S3 存储桶 ARN，您必须使用两个全局条件上下文密钥来限制权限。
+ 如果您同时使用了这两个条件，并且如果 `aws:SourceArn` 值包含账户 ID，则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时，必须显示相同的账户 ID。
+ 防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 Amazon 资源名称（ARN），或者正在指定多个资源，请针对 ARN 未知部分使用带有通配符字符 (`*`) 的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:{{servicename}}:*:{{123456789012}}:*`。

## Audit Manager 混淆代理支持
<a name="audit-manager-confused-deputy-support"></a>

在以下情况下，Audit Manager 会提供混淆代理支持。这些策略示例说明如何使用 `aws:SourceArn` 和 `aws:SourceAccount` 条件键来防范混淆代理问题。
+ [策略示例：您用来接收 Audit Manager 通知的 SNS 主题](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [策略示例：您用于加密您的 SNS 主题的 KMS 密钥](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

Audit Manager 不会为您在 Audit Manager [配置数据加密设置](settings-KMS.md) 设置中提供的客户托管密钥提供混淆代理支持。如果您提供了自己的客户托管密钥，则不能在该 KMS 密钥政策中使用 `aws:SourceAccount` 或 `aws:SourceArn` 条件。