Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Serviceübergreifende Confused-Deputy-Prävention Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS, dienststellenübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS DataSync Ressource einen anderen Dienst gewähren. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie diese Option, `aws:SourceAccount` wenn Sie möchten, dass eine Ressource in diesem Konto der dienstübergreifenden Nutzung zugeordnet wird. Der Wert von `aws:SourceArn` muss den DataSync Standort-ARN enthalten, mit dem die DataSync IAM-Rolle übernommen werden darf. Der effektivste Weg, sich vor dem Problem des verwirrten Stellvertreters zu schützen, besteht darin, den `aws:SourceArn` Schlüssel mit dem vollständigen ARN der Ressource zu verwenden. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie Platzhalterzeichen (`*`) für die unbekannten Teile. Hier sind einige Beispiele dafür, wie Sie dies tun können für DataSync: + Um die Vertrauensrichtlinie auf einen vorhandenen DataSync Standort zu beschränken, nehmen Sie den vollständigen Standort-ARN in die Richtlinie auf. DataSync übernimmt die IAM-Rolle nur, wenn es um diesen bestimmten Standort geht. + Wenn Sie einen Amazon S3 S3-Standort für erstellen DataSync, kennen Sie den ARN des Standorts nicht. Verwenden Sie in diesen Szenarien das folgende Format für den `aws:SourceArn` Schlüssel:`arn:aws:datasync:{{us-east-2}}:{{123456789012}}:*`. Dieses Format validiert die Partition (`aws`), die Konto-ID und die Region. Das folgende vollständige Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung in einer Vertrauensrichtlinie verwenden können, um das Problem mit DataSync dem verwirrten Stellvertreter zu vermeiden. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{123456789012}}" }, "ArnLike": { "aws:SourceArn": "arn:aws:datasync:{{us-east-2}}:{{123456789012}}:*" } } } ] } ``` ------ Weitere Beispielrichtlinien, die zeigen, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel mit verwenden können DataSync, finden Sie in den folgenden Themen: + [Erstellen Sie eine Vertrauensbeziehung, die DataSync den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht](using-identity-based-policies.md#datasync-example1) + [Konfigurieren Sie eine IAM-Rolle für den Zugriff auf Ihren Amazon S3 S3-Bucket](create-s3-location.md#create-role-manually)