截至 2025 年 11 月 7 日,亚马逊 Fraud Detector 不再向新客户开放。要获得与 Amazon Fraud Detector 类似的功能 SageMaker,请浏览亚马逊 AutoGluon、和 AWS WAF。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 防范混淆代理问题 当无权执行某项操作的实体可以强迫特权更高的实体执行该操作时,就会出现混乱的副手问题。 AWS 如果您向第三方(称为*跨账户)或其他 AWS 服务(称为*跨服务*)提供对账户*中资源的访问权限,则这些工具可帮助您保护自己的账户。 Cross-service 当一个服务(呼叫服务)呼叫另一个服务(*被**叫服务*)时,可能会出现混淆的副手问题。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,您可以创建策略来保护所有服务的数据,这些服务主体已被授予访问您的服务资源的权限。 Amazon Fraud Detector 支持在您的权限策略中使用[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)来允许服务代表您访问其他服务的资源。角色需要两个策略:一个角色信任策略,用于指定允许代入角色的主体,另一个权限策略用于指定可以对角色执行的操作。当服务代表您担任角色时,必须允许服务主体在角色信任策略中执行 `sts:AssumeRole` 操作。当服务调用时`sts:AssumeRole`,会 AWS STS 返回一组临时安全证书,服务主体使用这些证书来访问该角色的权限策略允许的资源。 为了防止出现跨服务混淆的副手问题,Amazon Fraud Detector 建议在角色信任策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥,将对角色的访问权限限制为仅限由预期资源生成的请求。 `aws:SourceAccount`指定账户 ID,`aws:SourceArn`指定与跨服务访问关联的资源的 ARN。`aws:SourceArn`必须使用 [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) 格式指定。在同一个政策声明中使用时,请确保`aws:SourceAccount`和`aws:SourceArn`使用相同的账户 ID。 防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果您不知道资源的完整 ARN 或者要指定多个资源,请使用带有通配符 (`*`) 的`aws:SourceArn`全局上下文条件密钥来表示 ARN 的未知部分。例如 `arn:aws:{{servicename}}:*:{{123456789012}}:*`。有关 Amazon Fraud Detector 资源和可在权限策略中使用的操作的信息,请参阅 [Amazon Fraud Detector 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies)。 以下角色信任策略示例在`aws:SourceArn`条件键中使用通配符 (\*) 允许 Amazon Fraud Detector 访问与账户 ID 关联的多个资源。 以下角色信任策略仅允许 Amazon Fraud Detector 访问`external-model`资源。注意条件块中的`aws:SourceArn`参数。资源限定符是使用为进行 `PutExternalModel` API 调用而提供的模型端点构建的。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "frauddetector.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly" } } } ] } ``` ------