本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 防止跨服務模擬
<a name="prevent-confused-deputy"></a>

 在 中 AWS，跨服務模擬可能會導致*混淆代理人問題*。當一個服務呼叫另一個服務時，如果一個服務操縱另一個服務來使用其許可，以以其他方式不允許的方式處理客戶的資源，則會發生跨服務模擬。為了防止此攻擊， AWS 提供工具來協助您保護資料，因此只有具有合法許可的服務才能存取您帳戶中的資源。

我們建議您在政策中使用 `aws:SourceArn`和 `aws:SourceAccount`條件，以限制 AWS Control Tower 提供給其他服務的許可，以存取您的 資源。
+ `aws:SourceArn` 如果您希望只有一個資源與跨服務存取相關聯，請使用 。
+ `aws:SourceAccount` 如果您想要允許該帳戶中的任何資源與跨服務使用相關聯，請使用 。
+ 如果`aws:SourceArn`值不包含帳戶 ID，例如 Amazon S3 儲存貯體的 ARN，您必須使用這兩個條件來限制許可。
+ 如果您同時使用這兩個條件，而且該`aws:SourceArn`值包含帳戶 ID，則值中的`aws:SourceAccount`值和帳戶`aws:SourceArn`必須在相同的政策陳述式中使用時顯示相同的帳戶 ID

如需詳細資訊和範例，請參閱 [https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html)。