

AWS Audit Manager n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Audit Manager la section Modification de la disponibilité](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Prévention du cas de figure de l’adjoint désorienté entre services
<a name="cross-service-confused-deputy-prevention"></a>

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé pour utiliser ses autorisations pour agir sur les ressources d’un autre client, lorsqu’il n’a pas l’autorisation de le faire. Pour éviter cela, Amazon Web Services fournit des outils qui peuvent vous aider à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte. 

Nous recommandons d'utiliser les clés contextuelles de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations accordées à un autre service pour accéder à vos ressources. AWS Audit Manager 
+ Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Vous pouvez également utiliser `aws:SourceArn` avec un caractère générique (`*`) si vous souhaitez spécifier plusieurs ressources.

  Par exemple, vous pouvez utiliser une rubrique Amazon SNS pour recevoir des notifications d’activité de la part d’Audit Manager. Dans ce cas, dans votre stratégie d’accès à la rubrique SNS, la valeur ARN de `aws:SourceArn` est la ressource Audit Manager d’où provient la notification. Comme il est probable que vous disposiez de plusieurs ressources Audit Manager, nous vous recommandons d’utiliser `aws:SourceArn` avec un caractère générique. Cela vous permet de spécifier toutes les ressources Audit Manager dans votre stratégie d’accès à la rubrique SNS. 
+ Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices. 
+ Si la valeur `aws:SourceArn` ne contient pas l’ID de compte, tel qu’un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. 
+ Si vous utilisez les deux conditions et que la valeur de `aws:SourceArn` contient l’ID de compte, la valeur de `aws:SourceAccount` et le compte indiqué dans la valeur de `aws:SourceArn` doivent utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de politique.
+ Le moyen le plus efficace de se protéger du problème de l’adjoint désorienté consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’Amazon Resource Name (ARN) complet de la ressource ou spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:{{servicename}}:*:{{123456789012}}:*`. 

## Audit Manager : assistance adjoint désorienté
<a name="audit-manager-confused-deputy-support"></a>

Audit Manager fournit une assistance adjoint désorienté dans les scénarios suivants. L’exemple suivant montre comment utiliser les clés de condition `aws:SourceArn` et `aws:SourceAccount` afin d’éviter le problème de l’adjoint désorienté.
+ [Exemple de politique : rubrique SNS utilisée pour recevoir les notifications d’Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-topic-permissions)
+ [Exemple de politique : clé KMS utilisée pour chiffrer votre rubrique SNS](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#sns-key-permissions)

Audit Manager ne fournit pas d’assistance adjoint désorienté pour la clé gérée par le client fournie dans vos paramètres [Configuration de vos paramètres de chiffrement des données](settings-KMS.md) Audit Manager. Si vous avez fourni votre propre clé gérée par le client, vous ne pouvez pas utiliser les conditions `aws:SourceAccount` ou `aws:SourceArn` énoncées dans cette stratégie de clé KMS.