**支援終止通知**：在 2026 年 2 月 20 日， AWS 將終止對 Amazon Chime 服務的支援。2026 年 2 月 20 日之後，您將無法再存取 Amazon Chime 主控台或 Amazon Chime 應用程式資源。如需詳細資訊，請造訪[部落格文章](https://aws.amazon.com/blogs/messaging-and-targeting/update-on-support-for-amazon-chime/)。**注意：**這不會影響 [Amazon Chime SDK 服務的](https://aws.amazon.com/chime/chime-sdk/)可用性。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 預防跨服務混淆代理人
<a name="confused-deputy"></a>

混淆代理人問題是當沒有執行動作許可的實體呼叫更特權的實體來執行動作時，發生的資訊安全問題。這可能會允許惡意執行者執行命令或修改他們沒有執行或存取許可的資源。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。

在 中 AWS，跨服務模擬可能會導致混淆代理人案例。當一個服務 (*呼叫的服務*) 呼叫另一個服務 (*呼叫的服務*) 時，會發生跨服務模擬。惡意執行者可以使用呼叫服務，透過使用他們通常不會擁有的許可來更改其他服務中的資源。

AWS 為服務主體提供對 帳戶中資源的受管存取權，以協助您保護資源的安全。我們建議您在資源政策中使用`aws:SourceAccount`全域條件內容金鑰。這些金鑰會限制 Amazon Chime 為該資源提供其他服務的許可。

下列範例顯示使用已設定 S3 儲存貯體中`aws:SourceAccount`全域條件內容索引鍵的 `CallDetailRecords` S3 儲存貯體政策，以協助防止混淆代理人問題。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "{{AmazonChimeAclCheck668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}"
        },
        {
            "Sid": "{{AmazonChimeWrite668426}}",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::{{your-cdr-bucket}}/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "{{bucket-owner-full-control}}",
                    "aws:SourceAccount": "{{112233446677}}" 
                }
            }
        }
    ]
}
```

------