Migration vers des autorisations détaillées pour les contrats AWS Artifact - AWS Artifact

Migration vers de nouvelles autorisations LegacyToFineGrainedMapping

Migration vers des autorisations détaillées pour les contrats AWS Artifact

Note

Le contenu de cette page ne s'applique qu'aux AWS régions commerciales et ne s'applique pas actuellement à AWS GovCloud (US) Regions.

AWS Artifact permet désormais aux clients d'utiliser des autorisations détaillées pour les accords. Grâce à ces autorisations détaillées, les clients disposent d'un contrôle précis sur l'accès à des fonctionnalités telles que la consultation et l'acceptation des accords de confidentialité, ainsi que l'acceptation et la résiliation des accords.

Pour accéder aux accords via les autorisations détaillées, vous pouvez utiliser les politiques AWSArtifactAgreementsReadOnlyAccess ou les politiques AWSArtifact AgreementsFullAccess gérées ou mettre à jour vos autorisations conformément à la recommandation ci-dessous. Si vous avez précédemment choisi de ne pas utiliser d'autorisations détaillées, vous devez vous inscrire en utilisant le lien « Accepter les autorisations détaillées pour les accords AWS Artifact » disponible dans la console des accords.

Vous avez la possibilité d'accéder aux accords dotés d'anciennes autorisations via le lien « Désabonnement des autorisations détaillées pour les accords AWS Artifact » disponible dans la console en cas de problème lors de la mise à jour des nouvelles autorisations.

Important

L'ancienne action IAM artifact:DownloadAgreement deviendra obsolète le 3 mars 2025. Après le 3 mars 2025, les politiques IAM contenant cette action entraîneront des avertissements dans l'éditeur de politiques.

Migration vers de nouvelles autorisations

L'ancienne action IAM « DownloadAgreement » a été remplacée par l'action « GetAgreement » pour télécharger les accords non acceptés et par l'action « GetCustomerAgreement » pour télécharger les accords acceptés. En outre, des actions plus détaillées ont été introduites pour contrôler l'accès à la consultation et à l'acceptation des accords de confidentialité ()NDAs. Pour tirer parti de ces actions granulaires et conserver la possibilité de consulter et d'exécuter les accords, les utilisateurs doivent remplacer leur politique existante contenant des autorisations héritées par une politique contenant des autorisations détaillées.

Migrer les autorisations pour télécharger le contrat au niveau du compte

Politique relative aux héritages :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "artifact:DownloadAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*",
        "arn:aws:artifact:::agreement/*"
      ]
    }
  ]
}

Nouvelle politique avec des autorisations détaillées :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListAgreementsActions",
      "Effect": "Allow",
      "Action": [
        "artifact:ListAgreements",
        "artifact:ListCustomerAgreements"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GetAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetCustomerAgreement",
        "artifact:GetAgreement",
        "artifact:GetNdaForAgreement",
        "artifact:AcceptNdaForAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*",
        "arn:aws:artifact:::agreement/*"
      ]
    }
  ]
}

Migrer les autorisations non spécifiques aux ressources pour télécharger, accepter et résilier les accords au niveau du compte

Politique relative aux héritages :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "artifact:AcceptAgreement",
        "artifact:DownloadAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*",
        "arn:aws:artifact:::agreement/*"
      ]
    }
  ]
}

Nouvelle politique avec des autorisations détaillées :


{
	"Version": "2012-10-17",
	"Statement": [
	  {
        "Sid": "ListAgreementActions",
        "Effect": "Allow",
        "Action": [
            "artifact:ListAgreements",
            "artifact:ListCustomerAgreements"
        ],
        "Resource": "*"
      },
      {
        "Sid": "AWSAgreementActions",
        "Effect": "Allow",
        "Action": [
          "artifact:GetAgreement",
          "artifact:AcceptNdaForAgreement",
          "artifact:GetNdaForAgreement",
          "artifact:AcceptAgreement"
        ],
        "Resource": "arn:aws:artifact:::agreement/*"
      },
      {
        "Sid": "CustomerAgreementActions",
        "Effect": "Allow",
        "Action": [
            "artifact:GetCustomerAgreement",
            "artifact:TerminateAgreement"
        ],
        "Resource": "arn:aws:artifact::*:customer-agreement/*"
      }
    ]
}

Migrer les autorisations non spécifiques aux ressources pour télécharger, accepter et résilier les accords au niveau de l'organisation

Politique relative aux héritages :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "artifact:AcceptAgreement",
        "artifact:DownloadAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*",
        "arn:aws:artifact:::agreement/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListRoles",
      "Resource": "arn:aws:iam:::role/*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "arn:aws:iam:::role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListAccounts",
        "organizations:ListAWSServiceAccessForOrganization"
      ],
      "Resource": "*"
    }
  ]
}

Nouvelle politique avec des autorisations détaillées :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:ListAgreements",
        "artifact:ListCustomerAgreements"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AWSAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetAgreement",
        "artifact:AcceptNdaForAgreement",
        "artifact:GetNdaForAgreement",
        "artifact:AcceptAgreement"
      ],
      "Resource": "arn:aws:artifact:::agreement/*"
    },
    {
      "Sid": "CustomerAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetCustomerAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": "arn:aws:artifact::*:customer-agreement/*"
    },
    {
      "Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": [
            "artifact.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "GetRoleToCheckForRoleExistence",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact"
    },
    {
      "Sid": "EnableServiceTrust",
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganization"
      ],
      "Resource": "*"
    }
  ]
}

Migrer les autorisations spécifiques aux ressources pour télécharger, accepter et résilier les accords au niveau du compte

Politique relative aux héritages :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "artifact:AcceptAgreement",
        "artifact:DownloadAgreement"
      ],
      "Resource": [
        "arn:aws:artifact:::agreement/AWS Business Associate Addendum"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "artifact:TerminateAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*"
      ]
    }
  ]
}

Nouvelle politique avec des autorisations détaillées :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:ListAgreements",
        "artifact:ListCustomerAgreements"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AWSAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetAgreement",
        "artifact:AcceptNdaForAgreement",
        "artifact:GetNdaForAgreement",
        "artifact:AcceptAgreement"
      ],
      "Resource": "arn:aws:artifact:::agreement/agreement-9c1kBcYznTkcpRIm"
    },
    {
      "Sid": "CustomerAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetCustomerAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": "arn:aws:artifact::*:customer-agreement/*"
    }
  ]
}

Migrer les autorisations spécifiques aux ressources pour télécharger, accepter et résilier les accords au niveau de l'organisation

Politique relative aux héritages :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "artifact:AcceptAgreement",
        "artifact:DownloadAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": [
        "arn:aws:artifact::*:customer-agreement/*",
        "arn:aws:artifact:::agreement/AWS Organizations Business Associate Addendum"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iam:ListRoles",
      "Resource": "arn:aws:iam:::role/*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "arn:aws:iam:::role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListAccounts",
        "organizations:ListAWSServiceAccessForOrganization"
      ],
      "Resource": "*"
    }
  ]
}

Nouvelle politique avec des autorisations détaillées :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:ListAgreements",
        "artifact:ListCustomerAgreements"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AWSAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetAgreement",
        "artifact:AcceptNdaForAgreement",
        "artifact:GetNdaForAgreement",
        "artifact:AcceptAgreement"
      ],
      "Resource": "arn:aws:artifact:::agreement/agreement-y03aUwMAEorHtqjv"
    },
    {
      "Sid": "CustomerAgreementActions",
      "Effect": "Allow",
      "Action": [
        "artifact:GetCustomerAgreement",
        "artifact:TerminateAgreement"
      ],
      "Resource": "arn:aws:artifact::*:customer-agreement/*"
    },
    {
      "Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": [
            "artifact.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "GetRoleToCheckForRoleExistence",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact"
    },
    {
      "Sid": "EnableServiceTrust",
      "Effect": "Allow",
      "Action": [
        "organizations:EnableAWSServiceAccess",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganization"
      ],
      "Resource": "*"
    }
  ]
}

De l'héritage à une cartographie précise des ressources pour les accords

Les ARN des accords ont été mis à jour pour des autorisations précises. Toute référence antérieure aux ressources des anciens accords doit être remplacée par de nouveaux ARN. Vous trouverez ci-dessous le mappage de l'ARN de l'accord entre les ressources traditionnelles et les ressources précises.

Nom de l'accord	Artifact ARN pour les autorisations héritées	Artifact ARN pour des autorisations précises
Business Associate Addendum d'AWS	arn:aws:artifact : ::Agreement/Addenda AWS Business Associate	arn:aws:artefact : ::agreement/agreement-9c1 Tkcp kBcYzn RIm
Addendum sur les violations de données à déclaration obligatoire d'AWS Nouvelle-Zélande	arn:aws:artifact : ::Agreement/Addendum relatif à une violation de données à déclaration obligatoire par AWS Nouvelle Zélande	arn:aws:artefact : ::agreement/agreement-3 Go YRq9r GUIu72r7
Addendum relatif aux violations de données à déclaration obligatoire d'AWS en Australie	arn:aws:artifact : ::Agreement/Addendum relatif à la violation de données notifiable d'AWS en Australie	arn:aws:artefact : ::agreement/agreement-sb LSDe8bitm AXNr9
Addenda à la règle 17a-4 d'AWS SEC	arn:aws:artifact : ::Agreement/Addendum à la règle 17a-4 d'AWS SEC	arn:aws:artefact : :agreement/agreement-bexgr7sjv Gxu XAW4
Addenda à la règle 18a-6 d'AWS SEC	arn:aws:artifact : ::Agreement/Addendum à la règle 18a-6 d'AWS SEC	arn:aws:artefact : ::accord/accord - XC HZTd NwJuq OKLRe
Addendum relatif aux partenaires commerciaux d'AWS Organizations	arn:aws:artifact : ::Agreement/Addendum relatif aux associés commerciaux des organisations AWS	arn:aws:artefact : ::Agreement/Agreement-Y03AUW Htqjv MAEor
Addenda d'AWS Organizations sur les violations de données à déclaration obligatoire en Australie	arn:aws:artifact : ::Agreement/Addendum australien relatif aux violations de données à déclaration obligatoire	arn:aws:artefact : ::Agreement/Agreement-YP EG4B DMFXTe PE7k
Addendum relatif aux violations de données devant être signalées par AWS Organizations New Zealand	arn:aws:artifact : ::Agreement/Addendum sur les violations de données à déclaration obligatoire en Nouvelle-Zélande	arn:aws:artefact : : : Agreement/Agreement-UOJEJR3VONVRHV52

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Migration vers des autorisations détaillées pour les rapports AWS Artifact

Exemples de politiques IAM dans les régions commerciales AWS