Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Empêchez l'usurpation d'identité entre services En AWS, l'usurpation d'identité interservices peut entraîner la *confusion* des adjoints. Lorsqu'un service appelle un autre service, l'usurpation d'identité entre services se produit si un service manipule un autre service pour utiliser ses autorisations afin d'agir sur les ressources d'un client d'une manière qui n'est pas autorisée autrement. Pour empêcher cette attaque, AWS fournit des outils pour vous aider à protéger vos données, afin que seuls les services disposant d'une autorisation légitime puissent accéder aux ressources de votre compte. Nous vous recommandons d'utiliser les `aws:SourceAccount` conditions `aws:SourceArn` et de vos politiques afin de limiter les autorisations qu'AWS Control Tower accorde à un autre service pour accéder à vos ressources. + À utiliser `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à un accès multiservice. + À utiliser `aws:SourceAccount` si vous souhaitez autoriser l'association d'une ressource de ce compte à une utilisation interservices. + Si la `aws:SourceArn` valeur ne contient pas l'ID de compte, tel que l'ARN d'un compartiment Amazon S3, vous devez utiliser les deux conditions pour limiter les autorisations. + Si vous utilisez les deux conditions, et si la `aws:SourceArn` valeur contient l'identifiant du compte, la `aws:SourceAccount` valeur et le compte inclus dans la `aws:SourceArn` valeur doivent présenter le même identifiant de compte lorsqu'ils sont utilisés dans la même déclaration de politique Pour plus d’informations et d’exemples, consultez [https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).