Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower - AWS Control Tower
AWSRessources et opérations de la Control TowerÀ propos de la propriété des ressourcesSpécifiez les éléments de politique : actions, effets et principesSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower

Chaque AWS ressource appartient à un Compte AWS, et les autorisations permettant de créer une ressource ou d'y accéder sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des stratégies d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). Certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Lorsque vous êtes chargé d'accorder des autorisations à un utilisateur ou à un rôle, vous devez connaître et suivre les utilisateurs et les rôles qui nécessitent des autorisations, les ressources pour lesquelles chaque utilisateur et chaque rôle ont besoin d'autorisations, ainsi que les actions spécifiques qui doivent être autorisées pour exploiter ces ressources.

Rubriques

AWSRessources et opérations de la Control Tower

Dans AWS Control Tower, la principale ressource est une zone d'atterrissage. AWS Control Tower prend également en charge un type de ressource supplémentaire, les commandes, parfois appelées glissières de sécurité. Toutefois, pour AWS Control Tower, vous ne pouvez gérer les commandes que dans le contexte d'une zone d'atterrissage existante. Les contrôles peuvent être considérés comme des sous-ressources.

Les ressources et sous-ressources de AWS sont associées à des noms de ressources Amazon uniques (ARNs), comme illustré dans l'exemple suivant.

Type de ressource ARNFormater
Système de fichiers arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSControl Tower fournit un ensemble d'APIopérations permettant de travailler avec les ressources AWS de la Control Tower. Pour une liste des opérations disponibles, voir AWS Control Tower the AWS Control Tower API Reference.

Pour plus d'informations sur les AWS CloudFormation ressources de AWS Control Tower, consultez le guide de AWS CloudFormation l'utilisateur.

À propos de la propriété des ressources

Le AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur du centre d'IAMidentité, un IAM utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les AWS informations d'identification de l'utilisateur root de votre AWS compte pour configurer une zone d'atterrissage, votre AWS compte est le propriétaire de la ressource.

  • Si vous créez un IAM utilisateur dans votre AWS compte et que vous lui accordez l'autorisation de configurer une zone d'atterrissage, celui-ci peut configurer une zone d'atterrissage à condition que son compte réponde aux conditions requises. Cependant, votre AWS compte, auquel appartient l'utilisateur, possède la ressource de la zone d'atterrissage.

  • Si vous créez un IAM rôle dans votre AWS compte avec l'autorisation de configurer une zone d'atterrissage, toute personne habilitée à assumer ce rôle peut configurer une zone d'atterrissage. Votre AWS compte, auquel appartient le rôle, possède la ressource de la zone d'atterrissage.

Spécifiez les éléments de politique : actions, effets et principes

Vous pouvez configurer et gérer votre zone d'atterrissage par le biais de la console AWS Control Tower ou de la zone d'atterrissage APIs. Pour configurer votre zone de landing zone, vous devez être un IAM utilisateur disposant des autorisations administratives définies dans une IAM politique.

Les éléments suivants sont les plus élémentaires que vous pouvez identifier dans une politique :

  • Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter AWSRessources et opérations de la Control Tower.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Pour plus d'informations sur les types d'actions pouvant être effectuées, consultez la section Actions définies par AWS Control Tower.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Control Tower ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des AWS IAM politiques dans le guide de IAM l'utilisateur.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifier les conditions définissant à quel moment une stratégie doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous pouvez utiliser des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à AWS Control Tower. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de IAM l'utilisateur.