Présentation du langage de la politique d’accès pour Amazon API Gateway - Amazon API Gateway
Éléments courants dans une stratégie d’accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation du langage de la politique d’accès pour Amazon API Gateway

Cette page décrit les éléments de base utilisés dans les politiques de ressources Amazon API Gateway.

Les politiques de ressources sont spécifiées en utilisant la même syntaxe que dans les politiquess IAM. Pour obtenir des informations complètes sur le langage de politique d’accès, consultez Présentation des politiques IAM et Référence des politiques AWS Identity and Access Management dans le Guide de l’utilisateur IAM.

Pour plus d'informations sur la manière dont un AWS service décide si une demande donnée doit être autorisée ou refusée, voir Déterminer si une demande est autorisée ou refusée.

Éléments courants dans une stratégie d’accès

Une politique de ressources contient à la base les éléments suivants :

  • Ressources : APIs il s'agit des ressources Amazon API Gateway pour lesquelles vous pouvez autoriser ou refuser des autorisations. Dans une politique, vous pouvez utiliser l’Amazon Resource Name (ARN) pour identifier la ressource. Vous pouvez également utiliser une syntaxe abrégée, qui sera automatiquement développée par API Gateway en ARN complet lors de l’enregistrement d’une politique de ressources. Pour en savoir plus, consultez Exemples de politiques de ressources API Gateway.

    Pour connaître le format de l’élément Resource complet, consultez Format de l’expression Resource des autorisations d’exécution d’API dans API Gateway.

  • Actions – pour chaque ressource, Amazon API Gateway prend en charge un ensemble d’opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d’action.

    Par exemple, l’autorisation execute-api:Invoke va permettre à l’utilisateur d’appeler une API sur demande d’un client.

    Pour connaître le format de l’élément Action, consultez Format de l’expression Action des autorisations d’exécution d’API dans API Gateway.

  • Effet – L’effet produit lorsque l’utilisateur demande une action spécifique. Il peut s’agir de Allow ou Deny. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente octroie l’accès.

    Note

    « Refus implicite » est la même chose que « Refus par défaut ».

    Un « refus implicite » est différent d’un « refus explicite ». Pour plus d’informations, consultez Différence entre refus par défaut et refus explicite.

  • Principal – Compte ou utilisateur autorisé à accéder aux actions ou ressources dans l’instruction. Dans une politique de ressources, le principal est l’utilisateur ou le compte qui reçoit cette autorisation.

L’exemple de politique de ressources suivant montre les éléments de politique courants précédemment évoqués. La politique accorde l'accès à l'API selon les termes spécifiés account-id region à tout utilisateur dont l'adresse IP source se trouve dans le bloc d'adresses123.4.5.6/24. La politique refuse tout accès à l’API si l’adresse IP source de l’utilisateur n’est pas comprise dans cette plage.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}