Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS des services qui fonctionnent avec IAM
Les AWS services répertoriés ci-dessous sont regroupés par ordre alphabétique et incluent des informations sur les IAM fonctions qu'ils prennent en charge :
-
Service — Vous pouvez choisir le nom d'un service pour afficher la AWS documentation sur l'accès et IAM l'autorisation pour ce service.
-
Actions : Vous pouvez spécifier des actions individuelles dans une politique. Si le service ne prend pas en charge cette fonction, Toutes les actions est sélectionné dans l'éditeur visuel. Dans un document JSON de politique, vous devez utiliser l'
Actionélément*in. Pour obtenir une liste des actions de chaque service, consultez Actions, Resources, and Condition Keys for Services (Actions, ressources et clés de condition pour AWS services). -
Autorisations au niveau des ressources : vous pouvez les utiliser ARNspour spécifier des ressources individuelles dans la politique. Si le service ne prend pas en charge cette fonction, Toutes les ressources est sélectionné dans l'éditeur visuel de politique. Dans un document JSON de politique, vous devez utiliser l'
Resourceélément*in. Certaines actions, comme lesList*actions, ne prennent pas en charge la spécification de SSO, ARN car elles sont conçues pour renvoyer plusieurs ressources. Si un service prend en charge cette fonctionnalité pour certaines ressources, mais pas pour d'autres, cela est indiqué par Partiel dans le tableau. Consultez la documentation de ce service pour plus d'informations. -
Politiques basées sur les ressources : Vous pouvez attacher des politiques basées sur les ressources à une ressource du service. Les stratégies basées sur les ressources incluent un
Principalélément pour spécifier les IAM identités qui peuvent accéder à cette ressource. Pour de plus amples informations, veuillez consulter Politiques basées sur l'identité et Politiques basées sur une ressource. -
ABAC(autorisation basée sur des balises) — Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'élément de condition d'une stratégie utilisant les clés de
aws:TagKeysconditionaws:ResourceTag/key-nameaws:RequestTag/, ou. Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est Oui. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est Partielle. Pour de plus amples informations sur la définition d'autorisations basées sur des attributs tels que des balises, veuillez consulter Définissez les autorisations en fonction des attributs avec ABAC autorisation. Pour accéder à un didacticiel décrivant les étapes de configurationABAC, consultez Use attribute-based access control control control control control control control control control control control control control control control control control control control control control control ABACkey-name -
Temporary credentials (Informations d'identification temporaires) : vous pouvez utiliser des informations d'identification à court terme que vous obtenez lorsque vous vous vous vous connectez à IAM Identity Center l'aide de SSO, que vous changez de rôle dans la console ou que vous générez AWS STS dans la AWS CLI ou le ou l' AWS API. Vous pouvez accéder aux services avec une valeur No uniquement en utilisant vos informations IAM d'identification utilisateur à long terme. Cela inclut un nom d'utilisateur et un mot de passe ou vos clés d'accès utilisateur. Pour plus d'informations, veuillez consulter Informations d'identification de sécurité temporaires dans IAM.
-
Rôles liés à un service : Un rôle lié à un service est un type particulier de rôle qui donne à un service l'autorisation d'accéder aux ressources d'autres services en votre nom. Cliquez sur le lien Oui ou Partiel pour afficher la documentation pour les services qui prennent en charge ces rôles. Cette colonne n'indique pas si le service utilise des rôles de service standard. Pour plus d'informations, veuillez consulter Rôles liés à un service.
-
Autres informations : Si un service ne prend pas entièrement en charge une fonction, vous pouvez consulter les notes de bas de page d'une entrée pour afficher les limitations et les liens vers les informations connexes.
Services qui fonctionnent avec IAM
En savoir plus
AWS CloudTrail
CloudTrail prend en charge les politiques basées sur les ressources uniquement sur les CloudTrail canaux utilisés pour les intégrations CloudTrail Lake avec des sources d'événements externes à. AWS
Amazon CloudWatch
CloudWatch Les rôles liés à un service ne peuvent pas être créés à l'aide de la AWS Management Console, et prennent en charge uniquement la fonction Actions d'alarme.
AWS CodeBuild
CodeBuild prend désormais en charge le partage de ressources intercompte à l'aide AWS RAM de.
CodeBuild supports ABAC pour des actions basées sur des projets.
AWS Config
AWS Config prend en charge les autorisations au niveau des ressources pour le regroupement des données de plusieurs comptes et plusieurs régions, ainsi que pour les règles. AWS Config Pour obtenir une liste des ressources prises en charge, consultez les sections Regroupement des données de plusieurs comptes et plusieurs régions et AWS Config Règles dans le AWS Config API guide.
AWS Database Migration Service
Vous pouvez créer et modifier les politiques qui sont attachées à des clés de AWS KMS chiffrement que vous créez pour chiffrer des données migrées vers les points de terminaison cibles pris en charge. Les points de terminaison cibles pris en charge incluent Amazon Redshift et Amazon S3. Pour plus d'informations, consultez les sections Création et utilisation de AWS KMS clés pour chiffrer les données cibles Amazon Redshift et AWS KMS Création de clés pour chiffrer des objets cibles Amazon S3 AWS Database Migration Service dans le guide de l'utilisateur.
Amazon Elastic Compute Cloud
Les rôles EC2 liés aux services Amazon ne peuvent être utilisés que pour les fonctionnalités suivantes : demandes d'instances ponctuelles, demandes de parc ponctuel, EC2flottes Amazon et lancement rapide pour les instances Windows.
Amazon Elastic Container Service
Seules quelques ECS actions Amazon prennent en charge les autorisations de niveau ressource.
AWS Elemental MediaPackage
MediaPackage prend en charge les rôles liés à un service pour la publication des journaux d'accès des clients CloudWatch , mais pas pour les autres API actions.
AWS Identity and Access Management
IAMprend en charge un seul type de stratégie basée sur les ressources, nommé stratégie d'approbation de rôle, qui est attaché à un IAM rôle. Pour de plus amples informations, veuillez consulter Accorder à un utilisateur l'autorisation de changer de rôle.
IAMprend désormais en charge le contrôle d'accès basé sur des balises pour la plupart des IAM ressources. Pour de plus amples informations, veuillez consulter Tags pour les AWS Identity and Access Management ressources.
Seules quelques API actions pour IAM peuvent être appelées avec des informations d'identification temporaires. Pour de plus amples informations, consultez Comparaison de vos API options.
AWS IoT
Les appareils connectés à AWS IoT sont authentifiés à l'aide de certificats X.509 ou d'identités Amazon Cognito. Vous pouvez attacher des AWS IoT stratégies à un certificat X.509 ou une identité Amazon Cognito pour contrôler ce que l'appareil est autorisé à faire. Pour plus d'informations, consultez Sécurité et identité pour AWS IoT dans le Manuel du développeur AWS IoT .
AWS Lambda
Lambda prend en charge le contrôle d'accès par attributs (ABAC) pour les API actions qui utilisent une fonction Lambda comme ressource requise. Les couches, les mappages de sources d'événements et les ressources de configuration de signature de code ne sont pas pris en charge
Lambda n'a pas de rôles liés au service, contrairement à Lambda@Edge. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour Lambda @Edge dans le Manuel du développeur Amazon. CloudFront
Amazon Lightsail
Lightsail prend partiellement en charge les autorisations au niveau des ressources et. ABAC Pour de plus amples informations, veuillez consulter la rubrique Actions, ressources et clés de condition pour Amazon Lightsail.
Amazon Managed Streaming for Apache Managed Streaming for Apache () MSK
Vous pouvez associer une politique de cluster à un MSK cluster Amazon configuré pour la VPCmulticonnectivité.
AWS Network Manager
AWS Cloud prend WAN également en charge les rôles liés à un service. Pour plus d'informations, consultez la section Rôles WAN liés aux services AWS cloud dans l'Amazon VPC AWS Cloud WAN Guide.
Amazon Relational Database Service
Amazon Aurora est un moteur de base de données relationnelle entièrement géré compatible avec My SQL et SQL Postgre. Vous pouvez choisir Aurora My SQL ou Aurora Postgre en SQL tant qu'option de moteur de base de données lorsque vous configurez de nouveaux serveurs de base de données via AmazonRDS. Pour plus d'informations, consultez Gestion des identités et des accès pour Amazon Aurora dans le Manuel de l'utilisateur Amazon Aurora.
Amazon Rekognition
Les politiques basées sur les ressources sont uniquement prises en charge pour la copie des modèles d'étiquettes personnalisées Amazon Rekognition.
AWS Resource Groups
Les utilisateurs peuvent endosser un rôle avec une politique qui autorise les opérations de groupes de ressources.
Amazon SageMaker
Les rôles liés à un service sont actuellement disponibles pour les tâches de SageMaker studio et de SageMaker formation.
AWS Security Token Service
AWS STS ne comporte pas de « ressources », mais il permet de restreindre l'accès d'une manière similaire aux utilisateurs. Pour de plus amples informations, veuillez consulter Refus de l'accès aux informations d'identification de sécurité temporaires par nom.
Seules certaines des API opérations pour AWS STS prennent en charge l'appel avec des informations d'identification temporaires. Pour de plus amples informations, consultez Comparaison de vos API options.
Amazon Simple Email Service
Vous pouvez uniquement utiliser les autorisations au niveau des ressources dans les instructions de politique qui font référence à des actions liées à l'envoi d'e-mails, comme ses:SendEmail ou ses:SendRawEmail. Pour obtenir des instructions de politique qui font référence à d'autres actions, l'élément Resource peut uniquement contenir *.
Seul Amazon SES API prend désormais en charge les informations d'identification de sécurité temporaires. L'SESSMTPinterface Amazon ne prend pas en charge les SMTP informations d'identification qui sont dérivées d'informations d'identification de sécurité temporaires.
Amazon Simple Storage Service
Amazon S3 prend en charge l'autorisation basée sur des balises pour les ressources d'objet uniquement.
Amazon S3 prend en charge les rôles liés au service pour Amazon S3 Storage Lens.
AWS Trusted Advisor
APIl'accès à Trusted Advisor se fait par le biais de AWS Support IAM politiques AWS Support API et est contrôlé par celles-ci.
Amazon Virtual Private Cloud
Dans une politique IAM utilisateur, vous ne pouvez pas limiter les autorisations à un point de VPC terminaison Amazon spécifique. Tout Action élément qui inclut les ec2:DescribePrefixLists API actions ec2:*VpcEndpoint* ou doit spécifier « "Resource":
"*" ». Pour plus d'informations, consultez la section Gestion des identités et des accès pour les VPC terminaux et les services de point de VPC terminaison dans le AWS PrivateLink Guide.
Amazon VPC prend en charge l'attachement d'une seule politique de ressource à un VPC point de terminaison afin de limiter les éléments accessibles via ce point de terminaison. Pour plus d'informations sur l'utilisation des politiques basées sur les ressources pour contrôler l'accès aux ressources à partir de VPC points de terminaison Amazon spécifiques, consultez Control d'accès à l'utilisation des politiques de point de terminaison dans le Guide.AWS PrivateLink
Amazon VPC n'a pas de rôles liés à un service, contrairement AWS Transit Gateway à. Pour plus d'informations, consultez la section Utiliser des rôles liés à un service pour la passerelle de transit dans le guide Amazon VPC AWS Transit Gateway .
AWS X-Ray
X-Ray ne prend pas en charge les autorisations au niveau des ressources pour toutes les actions.
X-Ray prend en charge le contrôle d'accès basé sur les balises pour les groupes et les règles d'échantillonnage.
