Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower - AWS Control Tower
AWSRessources et opérations de la Control TowerÀ propos de la propriété des ressourcesSpécifiez les éléments de politique : actions, effets et principesSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower

Chaque AWS la ressource est détenue par un Compte AWS, et les autorisations permettant de créer une ressource ou d'y accéder sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Lorsque vous êtes chargé d'accorder des autorisations à un utilisateur ou à un rôle, vous devez connaître et suivre les utilisateurs et les rôles qui nécessitent des autorisations, les ressources pour lesquelles chaque utilisateur et chaque rôle nécessitent des autorisations, ainsi que les actions spécifiques qui doivent être autorisées pour exploiter ces ressources.

Rubriques

AWSRessources et opérations de la Control Tower

Dans AWS Control Tower, la principale ressource est une zone d'atterrissage. AWSControl Tower prend également en charge un type de ressource supplémentaire, les commandes, parfois appelées glissières de sécurité. Toutefois, pour AWS Control Tower, vous ne pouvez gérer les commandes que dans le contexte d'une zone d'atterrissage existante. Les contrôles peuvent être considérés comme des sous-ressources.

Ressources et sous-ressources dans AWS sont associés à des noms de ressources Amazon (ARNs) uniques, comme illustré dans l'exemple suivant.

Type de ressource ARNFormater
Système de fichiers arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSControl Tower fournit un ensemble d'APIopérations permettant de travailler avec les ressources AWS de la Control Tower. Pour une liste des opérations disponibles, voir AWS Control Tower the AWS Control Tower API Reference.

Pour plus d'informations sur le AWS CloudFormation ressources disponibles dans AWS Control Tower, consultez le AWS CloudFormation Guide de l'utilisateur.

À propos de la propriété des ressources

Le AWS le compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est AWS compte de l'entité principale (c'est-à-dire le Compte AWS utilisateur root, utilisateur du centre d'IAMidentité, IAM utilisateur ou IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez le plugin AWS informations d'identification de l'utilisateur root de votre compte AWS compte pour configurer une zone d'atterrissage, votre AWS le compte est le propriétaire de la ressource.

  • Si vous créez un IAM utilisateur dans votre AWS compte et accorder à cet utilisateur l'autorisation de configurer une zone d'atterrissage, l'utilisateur peut configurer une zone d'atterrissage tant que son compte répond aux conditions préalables. Cependant, votre AWS le compte, auquel appartient l'utilisateur, possède la ressource de la zone d'atterrissage.

  • Si vous créez un IAM rôle dans votre AWS compte autorisé à configurer une zone d'atterrissage, toute personne pouvant assumer ce rôle peut configurer une zone d'atterrissage. Votre AWS le compte, auquel appartient le rôle, possède la ressource de la zone d'atterrissage.

Spécifiez les éléments de politique : actions, effets et principes

Vous pouvez configurer et gérer votre zone d'atterrissage par le biais de la console AWS Control Tower ou de la zone d'atterrissage APIs. Pour configurer votre zone de landing zone, vous devez être un IAM utilisateur disposant des autorisations administratives définies dans une IAM politique.

Les éléments suivants sont les plus élémentaires que vous pouvez identifier dans une politique :

  • Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter AWSRessources et opérations de la Control Tower.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Pour plus d'informations sur les types d'actions pouvant être effectuées, consultez la section Actions définies par AWS Control Tower.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). AWSControl Tower ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur IAM la syntaxe et les descriptions des politiques, voir AWS IAMRéférence à la politique dans le guide de IAM l'utilisateur.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de IAM politique pour spécifier les conditions dans lesquelles une politique doit entrer en vigueur. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous pouvez utiliser des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à AWS Control Tower. Cependant, il existe AWS-des clés de condition que vous pouvez utiliser le cas échéant. Pour une liste complète des AWS-touches, voir Clés disponibles pour les conditions dans le guide de IAM l'utilisateur.