本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 防止跨服务模拟
<a name="prevent-confused-deputy"></a>

 在中 AWS，跨服务模仿可能会导致*混乱*的副手问题。当一个服务调用另一个服务时，如果一个服务操纵另一个服务使用其权限，以其他不允许的方式使用客户的资源，就会发生跨服务模拟。为了防止这种攻击，我们 AWS 提供了一些工具来帮助您保护数据，以便只有拥有合法权限的服务才能访问您账户中的资源。

我们建议在策略中使用 `aws:SourceArn` 和 `aws:SourceAccount` 条件，以限制 AWS Control Tower 为其他服务提供的资源访问权限。
+ 如果您只希望将一个资源与跨服务访问相关联，请使用 `aws:SourceArn`。
+ 如果您想允许该账户中的任何资源与跨服务使用相关联，请使用 `aws:SourceAccount`。
+ 如果 `aws:SourceArn` 值不包含账户 ID，例如 Amazon S3 存储桶的 ARN，您必须使用这两个条件来限制权限。
+ 如果您同时使用了这两个条件，并且如果 `aws:SourceArn` 值包含账户 ID，则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时，必须显示相同的账户 ID。

有关更多信息以及示例，请参阅 [https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。