本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 預防跨服務混淆代理人
<a name="security-iam-confused-deputy"></a>

混淆代理人是由不同實體強制執行動作的實體 (服務或帳戶)。這種類型的冒充可能發生跨帳戶和跨服務。

為了防止混淆代理人， AWS 提供工具，協助您使用已授予存取您 中資源權限的服務主體，保護所有 服務的資料 AWS 帳戶。本節著重於跨服務混淆代理人預防 Amazon Transcribe；不過，您可以在 *IAM 使用者指南*的[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)區段中進一步了解此主題。

若要限制 IAM 授予 Amazon Transcribe 存取 資源的許可，建議您在資源政策[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)中使用全域條件內容金鑰 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 。

如果您使用這兩個全域條件內容索引鍵，而 `aws:SourceArn`值包含 AWS 帳戶 ID，則 `aws:SourceAccount`中的值在相同政策陳述式中使用時， AWS 帳戶 `aws:SourceArn`必須使用相同的 AWS 帳戶 ID。

如果您想要僅允許一個資源與跨服務存取相關聯，請使用 `aws:SourceArn`。如果您想要將 中的任何資源 AWS 帳戶 與跨服務存取建立關聯，請使用 `aws:SourceAccount`。

**注意**  
範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容金鑰，以及資源的**完整 ARN**。如果不知道資源的完整 ARN，或者如果您指定多個資源，請使用 `aws:SourceArn` 全域條件內容金鑰，同時使用 ARN 未知部分的萬用字元 (`*`) 。例如：`arn:aws:transcribe::123456789012:*`。

如需假設角色政策的範例，其中顯示如何避免混淆代理人的問題，請參閱 [預防混淆代理人政策](security_iam_id-based-policy-examples.md#confused-deputy-policy)。