Évaluation des politiques pour les demandes au sein d'un seul compte - AWS Identity and Access Management
Évaluation des politiques basées sur l'identité avec des politiques basées sur des ressourcesÉvaluation des politiques basées sur l'identité avec des limites d'autorisationsÉvaluation des politiques basées sur l'identité auprès d'Organizations ou SCPs RCPsExemple d'évaluation des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Évaluation des politiques pour les demandes au sein d'un seul compte

La manière dont AWS les politiques sont évaluées dépend des types de politiques qui s'appliquent au contexte de la demande. Les types de politique suivants sont répertoriés par ordre de fréquence et utilisables dans un seul Compte AWS. Pour plus d'informations sur ces types de politique, consultez Politiques et autorisations dans AWS Identity and Access Management. Pour savoir comment AWS évalue les stratégies d'accès entre comptes, veuillez consulter Logique d'évaluation des politiques entre comptes.

  • Politiques basées sur l'identité — Les politiques basées sur l'identité sont associées à une IAM identité (utilisateur, groupe d'utilisateurs ou rôle) et accordent des autorisations aux IAM entités (utilisateurs et rôles). Si seules les politiques basées sur l'identité s'appliquent à une demande, toutes ces politiques sont vérifiées pour au moins une d'entre elles. AWS Allow

  • Politiques basées sur les ressources : les politiques basées sur les ressources accordent des autorisations aux principaux spécifiés dans la stratégie. Les autorisations définissent ce que le principal peut faire avec la ressource à laquelle la politique est attachée.

  • IAMlimites d'autorisations : les limites d'autorisations sont une fonctionnalité qui définit le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une IAM entité (utilisateur ou rôle). Lorsque vous définissez une limite d'autorisation pour une entité, celle-ci ne peut effectuer que les actions autorisées à la fois par ses politiques basées sur l'identité et par sa limite d'autorisations. Dans certains cas, un refus implicite dans une limite d'autorisations peut limiter les autorisations accordées par une politique basée sur les ressources. Pour en savoir plus, consultez Comment la logique du code d' AWS application évalue les demandes d'autorisation ou de refus d'accès.

  • AWS Organizations politiques de contrôle des services (SCPs) — Les organisations SCPs spécifient les autorisations maximales disponibles pour les principaux au sein des comptes d'une organisation ou d'une unité organisationnelle (UO). SCPss'appliquent aux directeurs des comptes des membres, y compris à chacun Utilisateur racine d'un compte AWS d'entre eux. Si un SCP est présent, les autorisations accordées par des politiques basées sur l'identité et les ressources aux principaux de vos comptes membres ne sont efficaces que si l'action est autorisée. SCP Les seules exceptions concernent les principaux du compte de gestion de l'organisation et les rôles liés aux services.

  • AWS Organizations politiques de contrôle des ressources (RCPs) — Les organisations RCPs spécifient les autorisations maximales disponibles pour les ressources au sein des comptes d'une organisation ou d'une unité organisationnelle (UO). RCPss'appliquent aux ressources des comptes des membres et ont un impact sur les autorisations effectives accordées aux directeurs, y compris Utilisateur racine d'un compte AWS, qu'ils appartiennent ou non à votre organisation. RCPsne s'appliquent pas aux ressources du compte de gestion de l'organisation ni aux appels effectués par des rôles liés à un service.

  • Politiques de session : les politiques de session sont des politiques que vous transmettez en tant que paramètres lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour créer une session de rôle par programmation, utilisez l'une des AssumeRole* API opérations. Lorsque vous effectuez cette opération et que vous adoptez des politiques de session, les autorisations de session qui en résultent se situent à l'intersection de la politique basée sur l'identité de l'IAMentité et des politiques de session. Pour créer une session utilisateur fédérée, vous utilisez les clés IAM d'accès utilisateur pour appeler l'opération par programmation. GetFederationToken API Pour de plus amples informations, veuillez consulter Politiques de session.

Pour rappel, un refus explicite dans l'une de ces politiques remplace l'autorisation.

Évaluation des politiques basées sur l'identité avec des politiques basées sur des ressources

Les politiques basées sur l'identité et sur les ressources accordent des autorisations aux identités ou ressources auxquelles elles sont associées. Lorsqu'une IAM entité (utilisateur ou rôle) demande l'accès à une ressource au sein du même compte, AWS évalue toutes les autorisations accordées par les politiques basées sur l'identité et les ressources. Les autorisations qui en résultent sont l'union des autorisations des deux types. Si une action est autorisée par une stratégie basée sur l'identité, une stratégie basée sur les ressources, ou les deux, l'action est autorisée. AWS Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation.

Évaluation des politiques basées sur l'identité et des politiques basées sur des ressources

Évaluation des politiques basées sur l'identité avec des limites d'autorisations

Lors de l' AWS évaluation des politiques basées sur l'identité et des limites d'autorisations pour un utilisateur, les autorisations qui en résultent sont à l'intersection des deux catégories. En d'autres termes, lorsque vous ajoutez une limite d'autorisations à un utilisateur avec les politiques basées sur l'identité existantes, vous pouvez réduire les actions exécutées par l'utilisateur. Sinon, lorsque vous supprimez une limite d'autorisations à partir d'un utilisateur, vous pouvez augmenter les actions qu'il peut exécuter. Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation. Pour afficher des informations sur la façon dont les autres types de politique sont évalués avec des limites d'autorisations, consultez Évaluation des autorisations effectives avec limites.

Évaluation des stratégies basées sur l'identité et des limites d'autorisations

Évaluation des politiques basées sur l'identité auprès d'Organizations ou SCPs RCPs

Lorsqu'un utilisateur appartient à un compte membre d'une organisation et accède à une ressource pour laquelle aucune politique basée sur les ressources n'est configurée, les autorisations qui en résultent se situent à l'intersection des politiques de l'utilisateur, des politiques de contrôle des services (SCPs) et de la politique de contrôle des ressources (). RCP Cela signifie qu'une action doit être autorisée par les trois types de politiques. Un refus explicite dans la politique basée sur l'identitéSCP, un ou un RCP annule l'autorisation.

Évaluation des politiques basées sur l'identité et/ou SCPs RCPs

Vous pouvez savoir si votre compte est membre d'une organisation dans AWS Organizations. Les membres de l'organisation peuvent être concernés par un SCP ouRCP. Pour afficher ces données à l'aide de la AWS CLI commande ou de AWS API l'opération, vous devez disposer des autorisations nécessaires à l'organizations:DescribeOrganizationaction pour votre entité Organizations. Vous devez disposer des autorisations supplémentaires pour effectuer l'opération dans la console Organizations. Pour savoir si une demande spécifique RCP est refusée SCP ou refuse l'accès à une demande spécifique, ou pour modifier vos autorisations effectives, contactez votre AWS Organizations administrateur.

Exemple d'évaluation de politique basée sur l'identité et sur les ressources

Les types de politiques les plus courants sont celles basées sur l'identité et les ressources. Lorsque l'accès à une ressource est demandé, AWS évalue toutes les autorisations accordées par les politiques pour au moins une autorisation au sein du même compte. Un rejet explicite dans l'une de ces politiques remplace l'autorisation.

Important

Si la politique basée sur les identités ou celle basée sur les ressources dans le même compte autorise la demande et que l'autre ne l'autorise pas, la demande reste autorisée.

Supposons que le nom d'utilisateur de Carlos soit carlossalazar et que ce dernier essaie d'enregistrer un fichier dans le compartiment Amazon S3 amzn-s3-demo-bucket-carlossalazar-logs.

Supposons également que la politique suivante soit attachée à l'carlossalazarIAMutilisateur.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ListRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetAccountPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowS3Self",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-carlossalazar/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-carlossalazar"
            ]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::*log*"
        }
    ]
}

L'instruction AllowS3ListRead de cette politique autorise Carlos à afficher une liste de tous les compartiments du compte. L'instruction AllowS3Self accorde à Carlos un accès total au compartiment du même nom que son nom d'utilisateur. L'instruction DenyS3Logs refuse à Carlos l'accès à n'importe quel compartiment S3 comprenant log dans son nom.

De plus, la politique basée sur les ressources suivante (appelée politique de compartiment) est attachée au compartiment amzn-s3-demo-bucket-carlossalazar. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/carlossalazar"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-carlossalazar/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-carlossalazar"
            ]
        }
    ]
}

Cette politique spécifie que seul l'utilisateur carlossalazar peut accéder au compartiment amzn-s3-demo-bucket-carlossalazar.

Lorsque Carlos demande l'enregistrement d'un fichier dans le amzn-s3-demo-bucket-carlossalazar-logs bucket, il AWS détermine les politiques qui s'appliquent à la demande. Dans ce cas, seule les politiques basées sur l'identité et les ressources s'appliquent. Il s'agit de deux politiques d'autorisations. La logique d'évaluation est réduite à la logique suivante, car aucune limite d'autorisations ne s'applique.

Diagramme d'évaluation

AWS vérifie d'abord si une Deny déclaration s'applique au contexte de la demande. Il en trouve une, car la politique basée sur l'identité refuse explicitement à Carlos l'accès à n'importe quel compartiment S3 utilisé pour la journalisation. Carlos se voit refuser l'accès.

Supposons qu'il se rende compte de son erreur et essaie d'enregistrer le fichier dans le amzn-s3-demo-bucket-carlossalazar bucket. AWS recherche une Deny déclaration et n'en trouve aucune. Ensuite, il vérifie les politiques d'autorisations. La politique basée sur l'identité et celle basée sur les ressources autorisent la demande. AWS Autorise donc la demande. Si l'un d'entre eux refuse explicitement l'instruction, alors la demande est refusée. Si l'un des types de politique autorise la demande et que l'autre ne l'autorise pas, la demande reste autorisée.