Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les politiques sont résumées dans trois tables : récapitulatif de la politique, récapitulatif du service et récapitulatif de l'action. La table récapitulative de la politique comprend une liste des services et des résumés des autorisations définies par la politique choisie.
La table récapitulative de la politique est regroupée en une ou plusieurs sections Uncategorized services (Services non catégorisés), Explicit deny (Refus explicite) et Allow (Autoriser). Si la politique comprend un service qu'IAM ne reconnaît pas, le service est inclus dans la section Uncategorized services (Services non catégorisés) de la table. Si IAM reconnaît le service, celui-ci figure dans la section Explicit deny (Refus explicite) ou Allow (Autoriser) de la table, selon l'effet de la politique (Deny ou Allow).
Présentation des éléments d'un récapitulatif de service
Dans l'exemple suivant d'une page des détails de la politique, la politique SummaryAllElements est une politique gérée (politique gérée par le client) attachée directement à l'utilisateur. Cette politique est développée pour afficher son récapitulatif.
Dans l'image précédente, le résumé de la politique est visible sur la page Politiques :
-
L'onglet Autorisations comprend les autorisations définies dans la politique.
-
Si la politique n'accorde pas les autorisations pour toutes les actions, ressources et conditions définies dans la politique, un avertissement ou une bannière d'erreur s'affiche dans la partie supérieure de la page. Puis le récapitulatif de politique inclut des détails relatifs au problème. Pour savoir comment les récapitulatifs de politique vous aident à comprendre les autorisations que votre politique vous accorde et à résoudre les problèmes les concernant, consultez Ma politique n'accorde pas les autorisations escomptées.
-
Utilisez les boutons Résumé et JSON pour basculer entre le résumé de la politique et le document de politique JSON.
-
Utilisez la zone de Recherche pour réduire la liste des services et trouver un service spécifique.
-
La vue développée présente d'autres détails de la politique SummaryAllElements.
L'image suivante de la table récapitulative de la politique montre la politique SummaryAllElements développée sur la page des détails de la politique.
Dans l'image précédente, le résumé de la politique est visible sur la page Politiques :
-
En ce qui concerne les services qu'IAM reconnaît, il dispose les services selon si la politique autorise ou refuse explicitement l'utilisation du service. Dans cet exemple, la politique comprend une déclaration
Denypour le service Amazon S3 et des déclarationsAllowpour les services de Facturation, CodeDeploy et Amazon EC2. -
Service : cette colonne répertorie les services définis dans la politique et présente des détails pour chaque service. Chaque nom de service dans la table récapitulative de la politique est un lien vers la table de récapitulatif du service, présenté dans la section Récapitulatif du service (liste des actions). Dans cet exemple, les autorisations sont définies pour les services Amazon S3, Facturation, CodeDeploy et Amazon EC2.
-
Niveau d'accès : cette colonne indique si les actions dans chaque niveau d'accès (
List,Read,Write,Permission ManagementetTagging) ont des autorisationsFullouLimiteddéfinies dans la politique. Pour plus d'informations et pour consulter des exemples de récapitulatif de niveau d'accès, consultez Niveaux d'accès dans les récapitulatifs de politique.-
Full access (Accès complet) : cette entrée indique que le service a accès à toutes les actions dans les quatre niveaux d'accès disponibles pour le service.
-
Si l'entrée ne comprend pas l'Accès complet, le service a accès à certains actions, mais pas à l'ensemble des actions, pour le service. L'accès est alors défini en suivant les descriptions pour chacune des classifications du niveau d'accès (
List,Read,Write,Permission ManagementetTagging) :Complet : La politique fournit un accès complet à toutes les actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à toutes les actions
Readde la facturation.Limité : La politique fournit un accès à une ou plusieurs actions, mais pas à l'ensemble des actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à certaines des actions
Writede la facturation.
-
-
Resource (Ressource) : cette colonne présente les ressources que la politique définit pour chaque service.
-
Multiple (Plusieurs) : la politique comprend plusieurs ressources, mails pas leur totalité, dans le service. Dans cet exemple, l'accès est explicitement refusé à plusieurs ressources Amazon S3.
-
Toutes les ressources : la stratégie est définie pour toutes les ressources du service. Dans cet exemple, la politique autorise les actions répertoriées sur toutes les ressources de la facturation.
-
Resource text (Texte de ressource) : la politique contient une ressource dans le service. Dans cet exemple, les actions énumérées sont autorisées uniquement sur la ressource CodeDeploy
DeploymentGroupName. En fonction des informations que le service fournit à IAM, il est possible que vous voyiez un ARN ou le type de ressource défini.Note
Cette colonne peut contenir une ressource provenant d'un service différent. Si l'instruction de politique qui inclut la ressource ne contient pas d'actions et de ressources provenant d'un même service, cela signifie que votre politique contient des ressources non appariées. IAM ne vous avertit pas que des ressources ne sont pas appariées lorsque vous créez une politique ou que vous affichez une politique dans le récapitulatif de la politique. Si cette colonne contient une ressource non appariée, recherchez d'éventuelles erreurs dans votre politique. Afin de mieux comprendre vos politiques, vous devez toujours les tester avec le simulateur de politique.
-
-
Request condition (Demander une condition) : cette colonne indique si les services ou actions associés aux ressources font l'objet de conditions.
-
None (Aucune) : la politique ne contient aucune condition pour le service. Dans cet exemple, aucun condition n'est appliquée aux actions refusées dans le service Amazon S3.
-
Condition text (Texte de condition) : la politique contient une condition pour le service. Dans cet exemple, les actions de Facturation énumérées sont autorisées uniquement si l'adresse IP de la source correspond à
203.0.113.0/24. -
Multiple (Plusieurs) : la politique contient plusieurs conditions pour le service. Pour afficher chacune des conditions multiples de la politique, choisissez JSON pour afficher le document de politique.
-
-
Afficher les services restants : activez ce bouton pour développer la table afin d'inclure les services non définis par la politique. Ces services sont refusés implicitement (ou refusés par défaut) dans cette politique. Cependant, une instruction dans une autre politique peut tout de même autoriser ou refuser explicitement l'utilisation du service. Le récapitulatif de la politique résume les autorisations d'une seule politique. Pour savoir comment le service AWS décide si une demande donnée doit être autorisée ou refusée, consultez Logique d'évaluation de politiques.
Lorsqu'une politique ou un élément dans la politique n'accorde pas d'autorisations, IAM fournit des avertissements et des informations supplémentaires dans le récapitulatif de politique. La table récapitulative suivante de la politique illustre les services Afficher les services restants développés sur la page des détails de la politique SummaryAllElements avec les avertissements possibles.
Dans l'image précédente, vous pouvez voir tous les services incluant des actions, ressources ou conditions définies sans autorisation :
-
Resource warnings (Avertissements relatifs aux ressources) : pour les services qui ne fournissent pas d'autorisations pour toutes les actions ou ressources incluses, vous voyez l'un des avertissements suivants dans la colonne Resource (Ressource) de la table :
-
Aucune ressource n'est définie. – Cela signifie que le service a défini des actions, mais qu'aucune ressource prise en charge n'est incluse dans la politique.
-
Une ou plusieurs actions n'ont pas de ressource applicable. – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de ressource prise en charge.
-
Une ou plusieurs ressources n'ont pas d'action applicable. – Cela signifie que le service a défini des ressources, mais que certaines d'entre elles n'ont pas d'action associée.
Si un service comprend à la fois des actions qui n'ont pas de ressource applicable et des ressources qui ont une ressource applicable, alors seul l'avertissement Une ou plusieurs ressources n'ont pas d'action applicable est affiché. Ceci est dû au fait que lorsque vous affichez le récapitulatif de ce service, les ressources qui ne s'appliquent à aucune action ne s'affichent pas. Pour l'action
ListAllMyBuckets, cette politique inclut le dernier avertissement, car l'action ne prend pas en charge les autorisations au niveau des ressources, ni la clé de conditions3:x-amz-acl. Si vous corrigez le problème de ressource ou celui de condition, le problème restant s'affiche dans un avertissement détaillé. -
-
Request condition warnings (Avertissements relatifs aux demandes de condition) : pour les services qui ne fournissent pas d'autorisations pour toutes les conditions incluses, vous voyez l'un des avertissements suivants dans la colonne Request condition (Demander une condition) de la table :
-
Une ou plusieurs actions n'ont pas de condition applicable. – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de condition prise en charge.
-
Une ou plusieurs conditions n'ont pas d'action applicable. – Cela signifie que le service a défini des conditions, mais que certaines d'entre elles n'ont pas d'action associée.
-
-
Multiple (Plusieurs) |
Une ou plusieurs actions n'ont pas de ressource applicable. – L'instruction Denypour Amazon S3 inclut plusieurs ressources. Elle inclut également plusieurs actions ; certaines actions prennent en charge les ressources et d'autres non. Pour afficher cette politique, consultez Document de stratégie JSON SummaryAllElements. Dans ce cas, la politique inclut toutes les actions d'Amazon S3, et seules les actions qui peuvent être effectuées sur un compartiment ou un objet dans un compartiment sont rejetées. -
No resources are defined (Aucune ressource n'est définie) : le service a défini des actions, mais aucune ressource prise en charge n'est incluse dans la politique, et par conséquent, le service ne fournit aucune autorisation. Dans ce cas, la politique inclut des actions CodeCommit, mais aucune ressource CodeCommit.
-
DeploymentGroupName | string like | All, region | string like | us-west-2 |
Une ou plusieurs actions n'ont pas de ressource applicable. – Le service a une action définie et au moins une autre action qui n'a pas de ressource de support. -
None |
Une ou plusieurs conditions n'ont pas d'action applicable. – Le service a au moins une clé de condition qui n'a pas d'action de support.
Document de stratégie JSON SummaryAllElements
La politique SummaryAllElements n'est pas conçue pour vous permettre de définir des autorisations dans votre compte. En fait, elle est incluse pour illustrer les erreurs et les avertissements que vous risquez de rencontrer lors de l'affichage d'un récapitulatif de politique.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:Get*",
"payments:List*",
"payments:Update*",
"account:Get*",
"account:List*",
"cur:GetUsage*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::customer",
"arn:aws:s3:::customer/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshots"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"codedploy:*",
"codecommit:*"
],
"Resource": [
"arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
"arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:DeletObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
],
"s3:prefix": [
"custom",
"other"
]
}
}
}
]
}