Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Vice prevenzione confusa in Scheduler EventBridge Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. Cross-service *l'impersonificazione può verificarsi quando un servizio (il servizio *chiamante) chiama un altro servizio* (il servizio chiamato).* Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse del tuo account. Si consiglia di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nel ruolo di esecuzione della pianificazione per limitare le autorizzazioni concesse da EventBridge Scheduler a un altro servizio per accedere alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi. Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. La seguente condizione è valida per un singolo gruppo di pianificazione: `arn:aws:scheduler:*:{{123456789012}}:schedule-group/{{your-schedule-group}}` Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio: `arn:aws:scheduler:*:{{123456789012}}:schedule-group/*`. Il valore di `aws:SourceArn` deve essere l'ARN del gruppo di pianificazione EventBridge Scheduler a cui si desidera definire l'ambito di questa condizione. **Importante** Non limitate l'`aws:SourceArn`istruzione a una pianificazione specifica o al prefisso del nome di pianificazione. L'ARN specificato deve essere un gruppo di pianificazione. L'esempio seguente mostra come è possibile utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition nella politica di fiducia del ruolo di esecuzione per evitare il problema confuso del vice: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "scheduler.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{123456789012}}", "aws:SourceArn": "arn:aws:scheduler:{{us-west-2}}:{{123456789012}}:schedule-group/{{your-schedule-group}}" } } } ] } ``` ------ Se si utilizzano caratteri jolly nel valore di`aws:SourceArn`, è necessario utilizzare `ArnLike` invece che `StringEquals` come operatore di condizione. Ad esempio, la seguente politica di attendibilità utilizza `ArnLike` la corrispondenza di qualsiasi gruppo di pianificazione nell'account: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "scheduler.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:scheduler:*:{{123456789012}}:schedule-group/*" }, "StringEquals": { "aws:SourceAccount": "{{123456789012}}" } } } ] } ```