**终止支持通知**： AWS 将于 2026 年 2 月 20 日终止对 Amazon Chime 服务的支持。2026 年 2 月 20 日之后，您将无法再访问 Amazon Chime 控制台或 Amazon Chime 应用程序资源。有关更多信息，请访问该[博客文章](https://aws.amazon.com/blogs/messaging-and-targeting/update-on-support-for-amazon-chime/)。**注意：**这不会影响 [Amazon Chime 软件开发工具包](https://aws.amazon.com/chime/chime-sdk/)服务的可用性。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 防止跨服务混淆代理
<a name="confused-deputy"></a>

混淆代理问题属于信息安全问题，当无权执行操作的实体调用权限更高的实体代为执行操作时，就会出现这个问题。恶意行为者会借此机会运行原本无权运行的命令或修改原本无权访问的资源。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。

在中 AWS，跨服务模仿可能会导致副手场景混乱。当一项服务（*调用服务*）调用另一项服务（*被调用服务*）时，就会发生跨服务模拟。恶意行为者可以使用平时无法获取的权限，利用调用服务改变另一项服务中心的资源。

AWS 为服务委托人提供对您账户中资源的托管访问权限，以帮助您保护资源的安全。亚马逊建议您在资源策略中使用 `aws:SourceAccount` 全局条件上下文键。这些键会限制 Amazon Chime 赋予其他服务访问该资源的权限。

以下示例显示了 S3 存储桶策略，在经过配置的 `CallDetailRecords` S3 存储桶中使用 `aws:SourceAccount` 全局条件上下文键，以免出现混淆代理问题。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "{{AmazonChimeAclCheck668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}"
        },
        {
            "Sid": "{{AmazonChimeWrite668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "{{bucket-owner-full-control}}",
                    "aws:SourceAccount": "{{112233446677}}" 
                }
            }
        }
    ]
}
```

------