Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prevenzione del problema "confused deputy" tra servizi Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account. Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS DataSync forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza `aws:SourceAccount` se desideri che qualsiasi risorsa in quell'account sia associata all'uso tra servizi. Il valore di `aws:SourceArn` deve includere l'ARN della DataSync posizione con cui DataSync è consentito assumere il ruolo IAM. Il modo più efficace per proteggersi dal confuso problema del vice è utilizzare la `aws:SourceArn` chiave con l'ARN completo della risorsa. Se non conosci l'ARN completo o se stai specificando più risorse, usa i caratteri jolly (`*`) per le parti sconosciute. Ecco alcuni esempi di come eseguire questa operazione per: DataSync + Per limitare la politica di attendibilità a una DataSync posizione esistente, includi l'ARN completo della posizione nella policy. DataSync assumerà il ruolo IAM solo quando avrà a che fare con quella particolare posizione. + Quando crei una sede Amazon S3 per DataSync, non conosci l'ARN della posizione. In questi scenari, usa il seguente formato per la `aws:SourceArn` chiave:. `arn:aws:datasync:{{us-east-2}}:{{123456789012}}:*` Questo formato convalida la partizione (`aws`), l'ID account e la regione. L'esempio completo seguente mostra come è possibile utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition in una politica di fiducia per evitare il confuso problema del vice. DataSync ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{123456789012}}" }, "ArnLike": { "aws:SourceArn": "arn:aws:datasync:{{us-east-2}}:{{123456789012}}:*" } } } ] } ``` ------ Per ulteriori esempi di policy che mostrano come utilizzare `aws:SourceArn` le chiavi di contesto della condizione `aws:SourceAccount` globale con DataSync, consultate i seguenti argomenti: + [Crea una relazione di fiducia che DataSync consenta di accedere al tuo bucket Amazon S3](using-identity-based-policies.md#datasync-example1) + [Configura un ruolo IAM per accedere al tuo bucket Amazon S3](create-s3-location.md#create-role-manually)