本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 防止跨服务混淆代理 混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况, AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。 我们建议在资源策略中使用 a [ws[: SourceArn](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 aws: SourceAccount](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文密钥来限制为资源 AWS Elemental MediaTailor 提供其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。 的值`aws:SourceArn`必须是在您的地区和账户中 MediaTailor 发布 CloudWatch 日志的播放配置。但是,只有当您使用允许向您的账户 MediaTailor 发布亚马逊 CloudWatch 日志的[`MediaTailorLogger`](monitoring-permissions.md)角色时,这才适用。如果您使用[服务相关角色](using-service-linked-roles.md)来允许 MediaTailor 发布 CloudWatch 日志,则不适用。 防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:servicename::123456789012:*`。 以下示例显示了如何在中使用`aws:SourceArn`和`aws:SourceAccount`全局条件上下文键 MediaTailor 来防止出现混淆的副手问题。