Choix entre politiques gérées et politiques en ligne - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choix entre politiques gérées et politiques en ligne

Prenez en compte vos cas d'utilisation lorsque vous devez choisir entre les politiques gérées et les politiques en ligne. Dans la plupart des cas, nous vous recommandons d'utiliser des politiques gérées plutôt que des politiques en ligne.

Note

Vous pouvez utiliser à la fois des politiques gérées et des politiques en ligne pour définir des autorisations communes et uniques pour une entité du principal.

Les politiques gérées fournissent les fonctions suivantes :

Réutilisation

Une même politique gérée peut être attachée à plusieurs entités du principal (utilisateurs, groupes et rôles). Vous pouvez créer une bibliothèque de politiques qui définissent des autorisations utiles pour votre Compte AWS, puis attacher ces politiques aux entités du principal comme requis.

Gestion centralisée des modifications

Lorsque vous modifiez une politique gérée, le changement est appliqué à toutes les entités du principal auxquelles la politique est attachée. Par exemple, pour ajouter l’autorisation nécessaire pour une nouvelle API AWS, vous pouvez mettre à jour la politique gérée par AWS afin d’y ajouter l’autorisation. Si vous utilisez une politique gérée par AWS, AWS met à jour la politique. Lorsqu’une politique gérée est mise à jour, les modifications sont appliquées à toutes les entités du principal auxquelles la politique gérée est rattachée. En revanche, pour modifier une politique en ligne, vous devez modifier individuellement chaque identité contenant la politique en ligne. Par exemple, si un groupe et un rôle contiennent tous les deux la même politique en ligne, vous devez modifier individuellement les deux entités du principal pour modifier la politique.

Versioning et restauration

Lorsque vous modifiez une politique gérée par le client, la politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. IAM stocke jusqu'à cinq versions de vos politiques gérées par le client. Vous pouvez utiliser les versions de politique pour restaurer une version antérieure, si nécessaire.

Note

Une version de politique est différente d'un élément de politique Version. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version.

Délégation de la gestion des autorisations

Vous pouvez autoriser les utilisateurs de votre Compte AWS à attacher et détacher des politiques, tout en conservant le contrôle sur les autorisations définies dans ces politiques. Pour ce faire, vous pouvez ainsi désigner certains utilisateurs en tant qu'administrateurs disposant de droits complets, autrement dit autorisés à créer, mettre à jour et supprimer des politiques. D'autres utilisateurs peuvent ensuite être désignés en tant qu'administrateurs limitées. Ces administrateurs restreints pouvent attacher des politiques à d'autres entités du principal, mais uniquement celles que vous leur avez autorisés à attacher.

Pour plus d'informations sur la délégation de la gestion des autorisations, consultez Contrôle de l'accès aux politiques.

Limites de caractères des politiques plus grandes

La limite maximale de caractères pour les politiques gérées est supérieure à la limite de caractères pour les politiques de groupe en ligne. Si vous atteignez la limite de taille de caractères pour la politique en ligne, vous pouvez créer d'autres groupes IAM et associer la politique gérée au groupe.

Pour plus d'informations sur les quotas et les limites, consultez IAMet AWS STS quotas.

Mises à jour automatiques de politiques gérées par AWS

AWS assure la maintenance des politiques gérées par AWS et les met à jour lorsque cela est nécessaire (par exemple, pour ajouter des autorisations pour de nouveaux services AWS), sans intervention de votre part. Les mises à jour sont automatiquement appliquées aux entités du principal auxquelles vous avez attaché la politique gérée par AWS.

Premiers pas avec les politiques gérées

Nous vous recommandons d'utiliser des politiques qui accordent le moins de privilèges ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique gérée par le client contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin.

Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliser AWS politiques gérées. Les politiques gérées par AWS n'octroient pas d'autorisations de moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.

Vous pouvez attacher des politiques gérées par AWS, notamment des fonctions de tâche, à n'importe quelle identité IAM. Pour en savoir plus, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.

Pour passer à des autorisations de moindre privilège, vous pouvez exécuter AWS Identity and Access Management et l’analyseur d’accès afin de contrôler les principaux avec des politiques gérées par AWS. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire ou générer une politique gérée par le client avec uniquement les autorisations requises pour votre équipe. Ceci est moins sécurisé, mais offre plus de flexibilité lorsque vous apprenez comment votre équipe utilise AWS. Pour en savoir plus, consultez Génération d'une politique IAM Access Analyzer.

Les politiques gérées par AWS sont conçues pour affecter des autorisations dans de nombreux cas d'utilisation courants. Pour de plus amples informations sur les politiques gérées par AWS, conçues pour des fonctions de tâche spécifiques, veuillez consulter AWS politiques gérées pour les fonctions professionnelles.

Pour obtenir la liste des politiques gérées par AWS, consultez le Guide de référence des politiques gérées par AWS.

Utilisation de politiques en ligne

Les politiques en ligne sont utiles pour conserver une relation individualisée stricte entre une politique et l'identité à laquelle elle est appliquée. Par exemple, si vous voulez éviter que les autorisations d'une politique ne soient accidentellement affectées à une identité autre que celle à laquelle elles sont destinées. Lorsque vous utilisez une politique en ligne, ses autorisations ne peuvent pas être attachées par inadvertance à la mauvaise identité. De plus, lorsque vous utilisez AWS Management Console pour supprimer cette identité, les politiques en ligne à celle-ci sont également supprimées car elles font partie de l’entité du principal.