Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend) - Amazon Transcribe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)

Ein verwirrter Stellvertreter ist eine Entität (eine Dienstleistung oder ein Konto), die von einer anderen Stelle gezwungen wird, eine Handlung auszuführen. Diese Art des Identitätswechsels kann konto- und dienstübergreifend erfolgen.

Um eputy-Prävention,AWS bietet Tools, mit denen Sie Ihre Daten für alle Services mit denen Sie Ihre Daten für alle Services mit denen Sie Ihre Daten für alle Services mit denen Sie Ihre Daten für alle Services mit denen Sie Ihre Daten für alle Services mit denen Sie Ihre Daten für alle Services mit denen Sie IhreAWS-Konto Daten für alle Services Dieser Abschnitt konzentriert sich speziell auf dienststellenübergreifende Prävention verwirrter Stellvertreter. Weitere Informationen zuAmazon Transcribe diesem Thema finden Sie jedoch im Abschnitt Probleme mit verwirrten Stellvertretern des IAMBenutzerhandbuchs.

Um die BerechtigungenIAM für den Zugriff auf Ihre Ressourcen einzuschränken, empfehlen wir die Verwendung der globalen Bedingungskontextschlüssel aws:SourceArnund aws:SourceAccountin Ihren Ressourcenrichtlinien.Amazon Transcribe

Wenn Sie diese beiden globalen Kontextschlüssel verwenden und deraws:SourceArn Wert die ID enthält und deraws:SourceAccount Wert dieAWS-Konto ID enthält,aws:SourceArn muss der Wert und dasAWS-Konto in der gleichenAWS-Konto Richtlinienanweisung verwendet werden.

Wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten, verwenden Sie aws:SourceArn. Wenn Sie eine Ressource darinAWS-Konto mit dienstübergreifendem Zugriff verknüpfen möchten, verwenden Sieaws:SourceAccount.

Anmerkung

Der effektivste Weg, um sich vor dem Problem des verwirrten Stellvertreters zu schützen, ist die Verwendung desaws:SourceArn globalen Kontextbedingungsschlüssel mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie denaws:SourceArn globalen Kontextbedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile des ARN. Zum Beispiel arn:aws:transcribe::123456789012:*.

Ein Beispiel für eine Richtlinie zur Übernahme einer Rolle, die zeigt, wie Sie ein verwirrendes Stellvertreterproblem vermeiden können, finden Sie unterConfused-Deputy-Prävention.