本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 預防跨服務混淆代理人 在 中 AWS,當一個服務 (*呼叫服務*) 呼叫另一個服務 (*呼叫的服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來對其他客戶的資源採取操作,即使該服務不應有適當的許可,導致混淆代理人的問題。 為了防止這種情況, AWS 提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。 我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件內容索引鍵,來限制 Amazon Rekognition 給予另一項服務對資源的許可。 如果 `aws:SourceArn` 值不包含帳戶 ID (例如 Amazon S3 儲存貯體 ARN),您必須同時使用這兩個全域條件內容索引鍵來限制許可。如果同時使用這兩個全域條件內容索引鍵,且 `aws:SourceArn` 值包含帳戶 ID,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。 如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 `aws:SourceArn`。如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 `aws:SourceAccount`。 `aws:SourceArn` 的值必須是 Rekognition 所使用之資源的 ARN,其格式指定如下:`arn:aws:rekognition:region:account:resource`。 `arn:User ARN` 的值應該是將呼叫影片分析作業的使用者 (擔任角色的使用者) 的 ARN。 防範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容索引鍵,以及資源的完整 ARN。 如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 鍵搭配萬用字元 (`*`) 來表示 ARN 的未知部分。例如 `arn:aws:{{rekognition}}:*:111122223333:*`。 請執行下列步驟以防範混淆: 1. 在 IAM 主控台的導覽窗格中,選擇**角色**選項。主控台會顯示您帳戶的角色。 1. 選擇要查看的角色名稱。您修改的角色應該具有 **AmazonRekognitionServiceRole** 的许可政策。選取**信任關係**標籤。 1. 選擇 **編輯信任政策**。 1. 在**編輯信任原則**頁面上,將預設 JSON 原則取代為使用一個或兩個 `aws:SourceArn` 和 `aws:SourceAccount` 全域條件內容金鑰的原則。請參閱以下範例原則。 1. 選擇**更新政策**。 下列範例示範如何使用 Amazon Rekognition 中的 `aws:SourceArn` 和 `aws:SourceAccount` 全域條件內容索引鍵,來預防混淆代理人問題。 如果您正在使用儲存和串流影片,您可以在 IAM 角色中使用類似下列的政策: 如果您只使用儲存的影片,您可以在 IAM 角色中使用類似下列的政策 (請注意,您不需要包含指定 `streamprocessor` 的 `StringLike` 引數):