Prérequis Étape 1 : Créer la politique Étape 2 : Attacher la politique Étape 3 : Tester l'accès utilisateur Ressources connexes Récapitulatif

Didacticiel IAM : créer et attacher votre première politique gérée par le client

Dans ce didacticiel, vous utilisez AWS Management Console pour créer une politique gérée par le client que vous attachez à un utilisateur IAM dans votre Compte AWS. La politique que vous créez autorise un utilisateur de test IAM à se connecter directement à AWS Management Console avec des autorisations de lecture seule.

Ce flux de travail se compose de trois étapes de base :

Étape 1 : Créer la politique: Par défaut, les utilisateurs IAM ne sont autorisés à rien faire. Ils ne peuvent pas accéder à la Console de gestion AWS ou à gérer les données qu'elle contient sans votre autorisation. Dans cette étape, vous créez une politique gérée par le client qui autorise tous les utilisateurs attachés à se connecter à la console.
Étape 2 : Attacher la politique: Lorsque vous attachez une politique à un utilisateur, celui-ci hérite des autorisations d'accès associées à cette politique. Dans cette étape, vous attachez la nouvelle politique à un utilisateur test.
Étape 3 : Tester l'accès utilisateur: Une fois la politique attachée, vous pouvez vous connecter en tant que l'utilisateur pour tester la politique.

Prérequis

Pour exécuter les étapes de ce didacticiel, vous devez déjà disposer des éléments suivants :

Un Compte AWS auquel vous pouvez vous connecter en tant qu'utilisateur IAM disposant d'autorisations administratives.

Un utilisateur IAM de test n'a aucune autorisation attribuée et n'appartient à aucun groupe comme suit :

Nom utilisateur	Groupe	Autorisations
PolicyUser	<aucune>	<aucune>

Étape 1 : Créer la politique

Dans cette étape, vous créez une politique gérée par le client qui autorise tous les utilisateurs attachés à se connecter à AWS Management Console avec un accès en lecture seule aux données IAM.

Pour créer la politique de votre utilisateur de test

Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/ en tant qu'utilisateur disposant d'autorisations Administrateur.
Dans le panneau de navigation, sélectionnez Policies (Politiques).
Dans le panneau de contenu, sélectionnez Créer une politique.

Choisissez l'option JSON et copiez le texte du document de politique JSON suivant. Collez ce texte dans la zone de texte JSON.


{
    "Version": "2012-10-17",
    "Statement": [ {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    } ]
}

Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

Note
Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Editeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour en savoir plus, consultez Restructuration de politique.
Sur la page Vérifier et créer, tapez UsersReadOnlyAccessToIAMConsole pour le nom de la politique. Vérifiez les autorisations accordées par votre politique, puis choisissez Créer une politique pour enregistrer votre travail.

La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

Étape 2 : Attacher la politique

Ensuite, vous attachez la politique que vous venez de créer à votre utilisateur IAM de test.

Pour attacher la politique à votre utilisateur de test

Dans le panneau de navigation de la console IAM, sélectionnez Policies (Politiques).
En haut de la liste des politiques, dans la zone de recherche, commencez à taper UsersReadOnlyAccesstoIAMConsole jusqu'à ce que vous puissiez voir votre politique. Sélectionnez ensuite la case d'option en regard de UsersReadOnlyAccessToIAMConsole dans la liste.
Cliquez sur le bouton Actions, puis choisissez Attach (Attacher).
Dans les entités IAM, choisissez l'option de filtrage pour les Utilisateurs.
Dans la zone de recherche, commencez à taper PolicyUser jusqu'à ce que cet utilisateur soit visible dans la liste. Cochez ensuite la case en regard de cet utilisateur dans la liste.
Choisissez Attach policy (Attacher une politique).

Vous avez attaché la politique à votre utilisateur de test IAM, ce qui signifie que l'utilisateur dispose maintenant d'un accès en lecture seule à la console IAM.

Étape 3 : Tester l'accès utilisateur

Dans le cadre de ce didacticiel, nous vous recommandons de tester l'accès en vous connectant en tant que chacun des utilisateurs de test afin de vous rendre compte de l'expérience que vivent vos utilisateurs.

Tester l'accès en vous connectant avec votre utilisateur test

Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/ en tant qu'utilisateur test PolicyUser.
Parcourez les pages de la console et essayez de créer un nouvel utilisateur ou un nouveau groupe. Notez que PolicyUser peut afficher des données mais ne peut ni créer, ni modifier des données IAM existantes.

Ressources connexes

Pour plus d'informations, consultez les ressources suivantes :

Récapitulatif

Vous avez terminé toutes les étapes nécessaires pour créer et attacher une politique gérée par l'utilisateur. Par conséquent, vous pouvez vous connecter à la console IAM avec votre compte de test pour voir à quoi ressemble l'expérience de vos utilisateurs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Déléguer l'accès aux Comptes AWS différents rôles utilisateurs

Utiliser le contrôle d'accès basé sur les attributs (ABAC, attribute-based access control)