Prevención del suplente confuso entre servicios

Un diputado confundido es una entidad (un servicio o una cuenta) que es coaccionada por otra entidad para realizar una acción. Este tipo de suplantación de identidad puede ocurrir entre cuentas y servicios.

Para evitar que los suplente confuso,AWS proporciona herramientas que lo ayudan a proteger sus datos en todos los servicios mediante entidades principales de servicio a las que se les ha dado acceso a los recursos de suCuenta de AWS. Esta sección se centra en la prevención de diputados confusos entre servicios específicos paraAmazon Transcribe; sin embargo, puede obtener más información sobre este tema en la sección sobre problemas de diputados confusos de la Guía delIAM usuario.

Para limitar los permisosIAM otorgados para accederAmazon Transcribe a sus recursos, le recomendamos que utilice las claves contextuales de condiciones globales aws:SourceArny aws:SourceAccounten sus políticas de recursos.

Si se utilizan ambas claves de contexto de condición global y elaws:SourceArn valor contiene elCuenta de AWS ID, elaws:SourceAccount valor y elCuenta de AWS inaws:SourceArn deben utilizar el mismoCuenta de AWS ID cuando se empleen en la misma instrucción de política.

Si quiere que solo se asocie un recurso al acceso entre servicios, utilice aws:SourceArn. Si desea asociar algún recurso queCuenta de AWS contenga al acceso multiservicio, utiliceaws:SourceAccount.

nota

La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de contexto de condiciónaws:SourceArn global con el ARN completo del recurso. Si no conoce el ARN completo o si está especificando varios recursos, utilice la clave de condición de contextoaws:SourceArn global con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:transcribe::123456789012:*.

Para ver un ejemplo de una política de asunción de roles que muestra cómo puede evitar un problema de diputado confuso, consultePolítica de prevención del suplente confuso.