Amazon Monitron n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour des fonctionnalités similaires à celles d'Amazon Monitron, consultez notre article de blog
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment Amazon Monitron fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon Monitron, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Monitron. Pour obtenir une vue d'ensemble de la manière dont Amazon Monitron et les autres AWS services fonctionnent avec IAM, consultez la section AWS Services That Work with IAM dans le guide de l'utilisateur IAM.
Rubriques
Politiques basées sur l'identité d'Amazon Monitron
Pour spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées, utilisez les politiques basées sur l'identité IAM. Amazon Monitron prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Dans Amazon Monitron, les actions politiques utilisent le préfixe suivant avant l'action :. monitron: Par exemple, pour autoriser quelqu'un à créer un projet avec l'CreateProjectopération Amazon Monitron, vous devez inclure l'monitron:CreateProjectaction dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon Monitron définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Note
Pour effectuer cette deleteProject opération, vous devez disposer des autorisations AWS IAM Identity Center (SSO) nécessaires à la suppression. Sans ces autorisations, la fonctionnalité de suppression supprimera tout de même le projet. Cependant, cela ne supprimera pas les ressources du SSO et vous risquez de vous retrouver avec des références en suspens sur le SSO.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [ "monitron:action1", "monitron:action2" ]
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot List, incluez l’action suivante :
"Action": "monitron:List*"
Ressources
Amazon Monitron ne prend pas en charge la spécification de ressources ARNs dans une politique.
Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d’informations, consultez Éléments d’une politique IAM : variables et identifications dans le Guide de l’utilisateur IAM.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.
Amazon Monitron définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour obtenir la liste de toutes les clés de condition AWS globales, voir Clés contextuelles de condition AWS globales dans le guide de l'utilisateur IAM.
Pour consulter la liste des clés de condition Amazon Monitron, consultez la section Actions définies par Amazon Monitron dans le guide de l'utilisateur IAM. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez Clés de condition pour Amazon Monitron.
Exemples
Pour consulter des exemples de politiques basées sur l'identité d'Amazon Monitron, consultez. Exemples de politiques basées sur l'identité Amazon Monitron
Politiques basées sur les ressources d'Amazon Monitron
Amazon Monitron ne prend pas en charge les politiques basées sur les ressources.
Autorisation basée sur les tags Amazon Monitron
Vous pouvez associer des balises à certains types de ressources Amazon Monitron à des fins d'autorisation. Pour contrôler l'accès en fonction des balises, fournissez les informations relatives aux balises dans l'élément de condition d'une politique à l'aide des clés Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, ou de aws:TagKeys condition.
Rôles Amazon Monitron IAM
Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec Amazon Monitron
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.
Amazon Monitron prend en charge l'utilisation d'informations d'identification temporaires.
Rôles liés à un service
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Amazon Monitron prend en charge les rôles liés aux services.
Rôles de service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
Amazon Monitron prend en charge les rôles de service.
Exemples de politiques basées sur l'identité Amazon Monitron
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Amazon Monitron. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console. Un administrateur IAM doit accorder des autorisations aux utilisateurs, groupes ou rôles IAM qui en ont besoin. Ces utilisateurs, groupes ou rôles peuvent ensuite effectuer les opérations spécifiques sur les ressources spécifiques dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter Création de stratégies dans l'onglet JSON dans le Guide de l'utilisateur IAM.
Rubriques
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Monitron de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.
-
Accordez les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.
-
Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
-
Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politiques avec IAM Access Analyzer dans le Guide de l’utilisateur IAM.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Sécurisation de l’accès aux API avec MFA dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.
Utilisation de la console Amazon Monitron
Pour configurer Amazon Monitron à l'aide de la console, veuillez effectuer le processus de configuration initiale en utilisant un utilisateur doté de privilèges élevés (par exemple, un utilisateur auquel est attachée la politique AdministratorAccess gérée).
Pour accéder à la console Amazon Monitron pour les day-to-day opérations après la configuration initiale, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressources Amazon Monitron de votre AWS compte et inclure un ensemble d'autorisations liées à IAM Identity Center. Si vous créez une politique basée sur l'identité qui est plus restrictive que ces autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles IAM) dotées de cette politique. Pour bénéficier des fonctionnalités de base de la console Amazon Monitron, vous devez joindre la politique AmazonMonitronFullAccess gérée. Selon les circonstances, vous pouvez également avoir besoin d'autorisations supplémentaires pour accéder au service Organizations et SSO. Contactez le AWS support si vous avez besoin de plus d'informations.
Exemple : Répertorier tous les projets Amazon Monitron
Cet exemple de politique accorde à un utilisateur IAM de votre AWS compte l'autorisation de répertorier tous les projets de votre compte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "monitron:ListProject" "Resource": "*" } ] }
Exemple : Répertorier les projets Amazon Monitron en fonction de balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux ressources Amazon Monitron en fonction de balises. Cet exemple montre comment créer une politique permettant de répertorier des projets. Toutefois, l'autorisation n'est accordée que si la balise du projet location a la valeur deSeattle. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListProjectsInConsole", "Effect": "Allow", "Action": "monitron:ListProjects", "Resource": "*" "Condition": { "StringEquals": { "aws:ResourceTag/location": "Seattle" } } } ] }
Pour plus d'informations, consultez Éléments de politique JSON IAM : Condition dans le Guide de l’utilisateur IAM.
Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Monitron et IAM.
Rubriques
Je ne suis pas autorisé à effectuer une action dans Amazon Monitron
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM mateojackson tente d’utiliser la console pour afficher des informations détaillées sur une ressource my-example-widgetmonitron: fictives.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
Dans ce cas, la politique qui s’applique à l’utilisateur mateojackson doit être mise à jour pour autoriser l’accès à la ressource my-example-widgetmonitron:.GetWidget
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Monitron
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
-
Pour savoir si Amazon Monitron prend en charge ces fonctionnalités, consultez. Comment Amazon Monitron fonctionne avec IAM
-
Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez dans le Guide de l'utilisateur IAM.
-
Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section Fournir un accès à des ressources Comptes AWS détenues par des tiers dans le guide de l'utilisateur IAM.
-
Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité) dans le Guide de l’utilisateur IAM.
-
Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.
