Gestion des identités et des accès pour AWS CloudHSM - AWS CloudHSM
Utilisation de politiques IAM pour accorder des autorisationsActions d'API pour AWS CloudHSMClés de condition pour AWS CloudHSMPolitiques gérées par AWS prédéfinies pour AWS CloudHSMPolitiques gérées par le client pour AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des identités et des accès pour AWS CloudHSM

AWS utilise les informations d'identification de sécurité pour identifier et vous accorder l'accès à vos ressources AWS. Vous pouvez utiliser les fonctionnalités de AWS Identity and Access Management (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos ressources AWS dans leur intégralité ou de manière limitée. Vous pouvez le faire sans partager vos informations d'identification de sécurité.

Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier les ressources AWS. Pour permettre à un utilisateur IAM d'accéder à des ressources, telles qu'un équilibreur de charge, et d'effectuer des tâches, procédez comme suit :

  1. Créez une politique IAM qui accorde à l'utilisateur IAM l'autorisation d'utiliser les actions d'API et les ressources spécifiques dont il a besoin.

  2. Attachez la stratégie à l'utilisateur IAM ou au groupe auquel cet utilisateur appartient.

Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Par exemple, vous pouvez utiliser IAM pour créer des utilisateurs et des groupes sous votre compte AWS. Un utilisateur IAM peut être une personne, un système ou une application. Vous pouvez ensuite accorder des autorisations aux utilisateurs et aux groupes pour qu’ils exécutent des actions spécifiques sur les ressources spécifiées à l’aide d’une politique IAM.

Utilisation de politiques IAM pour accorder des autorisations

Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Une politique IAM est un document JSON qui se compose d’une ou de plusieurs déclarations. Chaque instruction est structurée comme illustré dans l'exemple suivant.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Effect : effect peut avoir la valeur Allow ou Deny. Comme, par défaut, les utilisateurs IAM n'ont pas la permission d'utiliser les ressources et les actions d'API, toutes les demandes sont refusées. Une autorisation explicite remplace l'autorisation par défaut. Un refus explicite remplace toute autorisation.

  • Action : action désigne l'action d'API spécifique pour laquelle vous accordez ou refusez l'autorisation. Pour plus d'informations sur la spécification d'action, consultez Actions d'API pour AWS CloudHSM.

  • Ressource : ressource affectée par l'action. AWS CloudHSM ne prend pas en charge les autorisations au niveau des ressources. Vous devez utiliser le caractère générique* pour spécifier toutes les AWS CloudHSM ressources.

  • Condition : elles permettent de contrôler à quel moment votre stratégie est effective. Pour plus d’informations, consultez Clés de condition pour AWS CloudHSM.

Pour plus d'informations, consultez le Guide de l'utilisateur IAM.

Actions d'API pour AWS CloudHSM

Dans l'élément Action de votre déclaration de politique IAM, vous pouvez spécifier toute action d'API qui AWS CloudHSM propose. Vous devez faire précéder le nom de l'action de la chaîne en lettres minuscules cloudhsm:, comme illustré dans l'exemple suivant.

"Action": "cloudhsm:DescribeClusters"

Pour spécifier plusieurs actions dans une même instruction, placez-les entre crochets et séparez-les par une virgule, comme dans l'exemple suivant.

"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]

Vous pouvez aussi utiliser le caractère générique * pour spécifier plusieurs actions. L'exemple suivant indique tous les noms d'actions d'API commençant parList. AWS CloudHSM 

"Action": "cloudhsm:List*"

Pour spécifier toutes les actions d'API pour AWS CloudHSM, utilisez le caractère générique *, comme indiqué dans l'exemple suivant.

"Action": "cloudhsm:*"

Pour obtenir la liste des actions d'API pour AWS CloudHSM, consultez la section AWS CloudHSM Actions.

Clés de condition pour AWS CloudHSM

Lorsque vous créez une stratégie, vous pouvez spécifier les conditions qui définissent le moment auquel la stratégie prend effet. Chaque condition contient une ou plusieurs paires clé-valeur. Il existe des clés de condition globales et des clés de condition spécifiques à un service.

AWS CloudHSM ne possède aucune clé de contexte spécifique au service.

Pour obtenir plus d'informations sur les clés de condition globales, consultez Clés de contexte de condition globale AWS dans le Guide de l’utilisateur IAM.

Politiques gérées par AWS prédéfinies pour AWS CloudHSM

Les stratégies gérées créées par AWS octroient les autorisations requises pour les cas d'utilisation courants. Vous pouvez associer ces stratégies à vos utilisateurs IAM, en fonction de l'accès à AWS CloudHSM dont ils ont besoin :

  • AWSCloudHSMFullAccess— Accorde l'accès complet requis pour utiliser les AWS CloudHSM fonctionnalités.

  • AWSCloudHSMReadOnlyAccess— Accorde un accès en lecture seule aux fonctionnalités. AWS CloudHSM

Politiques gérées par le client pour AWS CloudHSM

Nous vous recommandons de créer un groupe d'administrateurs IAM AWS CloudHSM contenant uniquement les autorisations nécessaires à l'exécution AWS CloudHSM. Associez à ce groupe la stratégie avec les autorisations appropriées. Ajoutez des utilisateurs IAM au groupe. Chaque utilisateur que vous ajoutez hérite de la stratégie du groupe Administrateurs.

En outre, nous vous recommandons de créer des groupes d'utilisateurs supplémentaires en fonction des autorisations dont ils ont besoin. Cela garantit que seuls les utilisateurs de confiance ont accès aux actions d'API critiques. Par exemple, vous pouvez créer un groupe d'utilisateurs auquel vous accordez uniquement un accès en lecture seule aux clusters et aux HSM. Étant donné que ce groupe ne permet pas aux utilisateurs de supprimer des clusters ou des HSM, aucun utilisateur non approuvé ne peut affecter la disponibilité d'une charge de travail de production.

Au fur et à mesure que AWS CloudHSM de nouvelles fonctionnalités de gestion sont ajoutées au fil du temps, vous pouvez vous assurer que seuls les utilisateurs de confiance bénéficient d'un accès immédiat. En attribuant des autorisations limitées aux stratégies à leur création, vous pouvez leur affecter manuellement nouvelles autorisations de fonction ultérieurement.

Vous trouverez ci-dessous des exemples de politiques pour AWS CloudHSM. Pour plus d'informations sur la création d'une stratégie et son association à un groupe d'utilisateurs IAM, consultez Création de stratégies dans l'onglet JSON dans le Guide de l’utilisateur IAM.

Exemples
Exemple : autorisations en lecture seule

Cette stratégie autorise l'accès aux actions d'API DescribeClusters et DescribeBackups. Elle inclut également des autorisations supplémentaires pour des actions d'API Amazon EC2 spécifiques. Cependant, elle ne permet pas aux utilisateurs de supprimer des clusters ou des HSM.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
Exemple : autorisations d'utilisateur avancé

Cette politique permet d'accéder à un sous-ensemble des actions de l' AWS CloudHSM API. Elle inclut également des autorisations supplémentaires pour des actions Amazon EC2 spécifiques. Cependant, elle ne permet pas aux utilisateurs de supprimer des clusters ou des HSM. Vous devez inclure l'iam:CreateServiceLinkedRoleaction permettant de AWS CloudHSM créer automatiquement le rôle AWSServiceRoleForCloudHSMlié au service dans votre compte. Ce rôle permet de AWS CloudHSM consigner les événements. Pour plus d’informations, consultez Rôles liés à un service pour AWS CloudHSM.

Note

Pour voir les autorisations spécifiques pour chaque API, reportez-vous à la section Actions, ressources et clés de condition pour AWS CloudHSM dans la Référence de l'autorisation de service.

{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
Exemple : autorisations d'administrateur

Cette politique permet d'accéder à toutes les actions de AWS CloudHSM l'API, y compris les actions de suppression de HSM et de clusters. Elle inclut également des autorisations supplémentaires pour des actions Amazon EC2 spécifiques. Vous devez inclure l'iam:CreateServiceLinkedRoleaction permettant de AWS CloudHSM créer automatiquement le rôle AWSServiceRoleForCloudHSMlié au service dans votre compte. Ce rôle permet de AWS CloudHSM consigner les événements. Pour plus d’informations, consultez Rôles liés à un service pour AWS CloudHSM.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}