Gérez l'accès aux ressources - AWS Control Tower
À propos des politiques basées sur l'identité (politiques) IAMPolitiques basées sur les ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section traite de l'utilisation IAM dans le contexte de AWS Control Tower. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur IAM la syntaxe et les descriptions des politiques, voir AWS IAMRéférence à la politique dans le guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Note

AWSControl Tower ne prend en charge que les politiques basées sur l'identité (IAMpolitiques).

Rubriques

À propos des politiques basées sur l'identité (politiques) IAM

Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associer une politique d'autorisations à un utilisateur ou à un groupe de votre compte : pour accorder à un utilisateur l'autorisation de créer une ressource AWS Control Tower, par exemple pour configurer une zone de landing zone, vous pouvez associer une politique d'autorisations à un utilisateur ou à un groupe auquel appartient l'utilisateur.

  • Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes. Par exemple, un administrateur pour un AWS le compte (compte A) peut créer un rôle qui accorde des autorisations entre comptes à un autre AWS compte (compte B), ou l'administrateur peut créer un rôle qui accorde des autorisations à un autre AWS service.

    1. L'administrateur du compte A crée un IAM rôle et associe une politique d'autorisation au rôle qui accorde des autorisations pour gérer les ressources du compte A.

    2. L'administrateur du compte A attache une politique de confiance au rôle. La politique indique que le compte B est le principal habilité à assumer ce rôle.

    3. En tant que principal, l'administrateur du compte B peut autoriser n'importe quel utilisateur du compte B à assumer ce rôle. En assumant le rôle, les utilisateurs du compte B peuvent créer ou accéder aux ressources du compte A.

    4. Pour octroyer un AWS service la capacité (autorisations) d'assumer le rôle, le principal que vous spécifiez dans la politique de confiance peut être un AWS service.

Politiques basées sur les ressources

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. AWSControl Tower ne prend pas en charge les politiques basées sur les ressources.