自 2025 年 11 月 7 日起，Amazon Fraud Detector 不再向新客戶開放。對於類似 Amazon Fraud Detector 的功能，請探索 Amazon SageMaker、AutoGluon 和 AWS WAF。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 預防混淆代理人
<a name="confused-deputy-prevention"></a>

當沒有執行動作許可的實體強制更特權的實體執行動作時，就會發生混淆代理人問題。如果您提供第三方 （稱為*跨帳戶*) 或其他 AWS 服務 （稱為*跨服務*) 存取您帳戶中的資源， AWS 會提供可協助您保護帳戶的工具。

當一個服務 (*呼叫服務*) 呼叫另一個服務 (*呼叫的服務*) 時，可能會發生跨服務混淆代理人問題。可以操縱呼叫服務來使用其許可，以其不應有存取許可的方式對其他客戶的資源採取動作。若要防止這種情況，您可以建立政策，以透過已授予服務資源存取權的服務主體，協助保護所有 服務的資料。

Amazon Fraud Detector 支援在您的許可政策中使用[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)，以允許服務代表您存取其他服務的資源。角色需要兩個政策：指定允許承擔角色的主體的角色信任政策；以及指定角色可執行動作的許可政策。當服務代表您擔任角色時，必須允許服務主體執行角色信任政策中的 `sts:AssumeRole` 動作。當服務呼叫 時`sts:AssumeRole`， 會 AWS STS 傳回一組臨時安全登入資料，供服務主體用來存取角色許可政策所允許的資源。

為了防止跨服務混淆代理人問題，Amazon Fraud Detector 建議您在角色信任政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵，將角色的存取限制為僅由預期資源產生的請求。

`aws:SourceAccount` 指定帳戶 ID，而 `aws:SourceArn`指定與跨服務存取相關聯的資源 ARN。`aws:SourceArn` 必須使用 [ARN 格式](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax)指定 。確保 `aws:SourceAccount`和 `aws:SourceArn` 在相同的政策陳述式中使用相同的帳戶 ID。

防範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容索引鍵，以及資源的完整 ARN。如果您不知道資源的完整 ARN 或指定多個資源，請針對 ARN 的未知部分使用`aws:SourceArn`全域內容條件索引鍵搭配萬用字元 (`*`)。例如 `arn:aws:{{servicename}}:*:{{123456789012}}:*`。如需有關您可以在許可政策中使用的 Amazon Fraud Detector 資源和動作的資訊，請參閱 [Amazon Fraud Detector 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector.html#amazonfrauddetector-resources-for-iam-policies)。

下列角色信任政策範例在`aws:SourceArn`條件索引鍵中使用萬用字元 (\*)，以允許 Amazon Fraud Detector 存取與帳戶 ID 相關聯的多個資源。

下列角色信任政策允許 Amazon Fraud Detector 僅存取 `external-model` 資源。請注意條件區塊中的`aws:SourceArn`參數。資源限定詞是使用用於進行 `PutExternalModel` API 呼叫的模型端點所建置。

------
#### [ JSON ]

****  

```
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "frauddetector.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:frauddetector:us-west-2:123456789012:external-model/MyExternalModeldoNotDelete-ReadOnly"
        }
      }
    }
  ]
}
```

------