Création de rôles et attribution d'autorisations - AWS Control Tower
Protégez-vous contre les attaquants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de rôles et attribution d'autorisations

Les rôles et les autorisations vous donnent accès aux ressources, dans AWS Control Tower et dans d'autres AWS services, y compris l'accès programmatique aux ressources.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Note

Lorsque vous configurez une zone de landing zone AWS Control Tower, vous aurez besoin d'un utilisateur ou d'un rôle associé AdministratorAccessà la politique gérée. (arn:aws:iam : :aws:policy/) AdministratorAccess

Pour créer un rôle pour une Service AWS (console IAM)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  3. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

  4. Pour Service ou cas d’utilisation, choisissez un service, puis choisissez le cas d’utilisation. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation nécessaire au service.

  5. Choisissez Suivant.

  6. Pour Politiques d’autorisations, les options dépendent du cas d’utilisation que vous avez sélectionné :

    • Si le service définit les autorisations pour le rôle, il n’est pas possible de sélectionner les politiques d’autorisation.

    • Choisissez parmi un ensemble limité de politiques d’autorisation.

    • Choisissez parmi toutes les politiques d’autorisation.

    • Ne sélectionnez aucune politique d’autorisation, créez les politiques une fois le rôle créé, puis attachez-les au rôle.

  7. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

    1. Ouvrez la section Définir une limite des autorisations et choisissez Utiliser une limite des autorisations pour contrôler le nombre maximum d’autorisations de rôle.

      IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

    2. Sélectionnez la politique à utiliser comme limite d'autorisations.

  8. Choisissez Suivant.

  9. Pour Nom du rôle, les options dépendent du service :

    • Si le service définit le nom du rôle, vous ne pouvez pas modifier le nom du rôle.

    • Si le service définit un préfixe pour le nom du rôle, vous pouvez saisir un suffixe facultatif.

    • Si le service ne définit pas le nom du rôle, vous pouvez le nommer.

      Important

      Lorsque vous nommez un rôle, notez ce qui suit :

      • Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.

        Par exemple, ne créez pas deux rôles nommés PRODROLE et prodrole. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.

      • Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.

  10. (Facultatif) Pour Description, saisissez la description du rôle.

  11. (Facultatif) Pour modifier les cas d’utilisation et les autorisations du rôle, dans les sections Étape 1 : sélectionner les entités de confiance ou Étape 2 : ajouter des autorisations, sélectionnez Modifier.

  12. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section Balises pour les AWS Identity and Access Management ressources dans le Guide de l'utilisateur d'IAM.

  13. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Pour utiliser l’éditeur de politique JSON afin de créer une politique

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s’affiche. Sélectionnez Mise en route.

  3. En haut de la page, sélectionnez Créer une politique.

  4. Dans la section Éditeur de politique, choisissez l’option JSON.

  5. Saisissez ou collez un document de politique JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de politique JSON IAM.

  6. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l’éditeur visuel, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page Restructuration de politique dans le Guide de l’utilisateur IAM.

  7. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les AWS CloudFormation modèles.

    Pour ce faire, dans l'éditeur de politiques, sélectionnez Actions, puis sélectionnez Générer CloudFormation un modèle. Pour en savoir plus AWS CloudFormation, consultez la référence aux types de AWS Identity and Access Management ressources dans le Guide de AWS CloudFormation l'utilisateur.

  8. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez Suivant.

  9. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  10. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section Balises pour les AWS Identity and Access Management ressources dans le Guide de l'utilisateur d'IAM.

  11. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Pour utiliser l'éditeur visuel afin de créer une politique

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

    Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s’affiche. Sélectionnez Get started (Mise en route).

  3. Choisissez Create Policy (Créer une politique).

  4. Dans la section Éditeur de politiques, recherchez la section Sélectionner un service, puis choisissez un Service AWS. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services. Vous pouvez choisir un seul service par bloc d'autorisation de l'éditeur visuel. Pour accorder l'accès à plusieurs services, ajoutez de multiples blocs d'autorisation en sélectionnant Ajouter d'autres autorisations.

  5. Dans Actions autorisées, choisissez les actions à ajouter à la politique. Vous pouvez choisir des actions de différentes manières :

    • Activez la case à cocher pour toutes les actions.

    • Choisissez Ajouter des actions pour saisir le nom d'une action spécifique. Vous pouvez utiliser un caractère générique (*) pour spécifier plusieurs actions.

    • Sélectionnez l'un des groupes de niveau Accès pour choisir toutes les actions pour le niveau d'accès (par exemple, Lecture, Écriture ou Liste).

    • Développez chacun des groupes de Niveaux d'accès pour choisir des actions individuelles.

    Par défaut, la politique que vous créez autorise les actions que vous choisissez. Pour refuser les actions choisies, sélectionnez Switch to deny permissions (Basculer vers le refus des autorisations). Le comportement par défaut d'IAM étant le refus, nous vous recommandons comme bonne pratique de sécurité de n'autoriser un utilisateur à accéder qu'aux actions et aux ressources nécessaires. Créez une instruction JSON pour refuser les autorisations uniquement si vous souhaitez remplacer une autorisation autorisée séparément par une autre déclaration ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.

  6. Pour Ressources, si le service et les actions que vous avez sélectionnés lors des étapes précédentes ne prennent pas en charge le choix de ressources spécifiques, toutes les ressources sont autorisées et vous ne pouvez pas modifier cette section.

    Si vous avez choisi une ou plusieurs actions qui prennent en charge les autorisations de niveau ressource, l'éditeur visuel affiche la liste de ces ressources. Vous pouvez alors développer Ressources pour spécifier les ressources de votre politique.

    Vous pouvez spécifier des ressources de la manière suivante :

    • Choisissez Ajouter ARNs pour spécifier les ressources en fonction de leur Amazon Resource Names (ARN). Vous pouvez utiliser l'éditeur visuel d'ARN ou la liste ARNs manuellement. Pour plus d'informations sur la syntaxe ARN, consultez Amazon Resource Names (ARNs) dans le guide de l'utilisateur IAM. Pour plus d'informations sur l'utilisation ARNs de l'Resourceélément d'une stratégie, voir Éléments de stratégie IAM JSON : ressource dans le guide de l'utilisateur IAM.

    • Choisissez Toute ressource dans ce compte en regard d'une ressource pour accorder des autorisations à toutes les ressources de ce type.

    • Choisissez Toutes pour choisir toutes les ressources pour le service.

  7. (Facultatif) Choisissez Demander des conditions – facultatif pour ajouter des conditions à la politique que vous créez. Des conditions limitent l'effet d'une instruction de politique JSON. Par exemple, vous pouvez spécifier qu'un utilisateur est autorisé à effectuer des actions sur les ressources uniquement si la demande de cet utilisateur se produit au cours d'une période spécifiée. Vous pouvez également utiliser des conditions couramment utilisées pour limiter l'authentification d'un utilisateur à l'aide d'un dispositif d'authentification multifactorielle (MFA). Ou vous pouvez exiger que la demande provienne d'une certaine plage d'adresses IP. Pour obtenir la liste de toutes les clés contextuelles que vous pouvez utiliser dans une condition de politique, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation de service.

    Vous pouvez choisir des conditions de différentes manières :

    • Utilisez les cases à cocher pour sélectionner les conditions couramment utilisées.

    • Choisissez Ajouter une autre condition pour spécifier d'autres conditions. Choisissez la clé de condition, le qualificatif et l'opérateur de la condition, puis entrez une valeur. Pour ajouter plusieurs valeurs, choisissez Ajouter. Vous pouvez considérer que les valeurs sont connectées par un OR opérateur logique. Lorsque vous avez fini, choisissez Ajouter une condition.

    Pour ajouter plusieurs conditions, choisissez de nouveau Ajouter une autre condition. Répétez l'opération si nécessaire. Chaque condition s'applique uniquement à ce bloc d'autorisation de l'éditeur visuel. Toutes les conditions doivent être remplies pour que le bloc d'autorisation soit considérée comme réussi. En d'autres termes, considérez les conditions à connecter par un AND opérateur logique.

    Pour plus d'informations sur l'élément Condition, voir Éléments de politique IAM JSON : Condition dans le guide de l'utilisateur IAM.

  8. Pour ajouter d'autres blocs d'autorisation, choisissez Ajouter d'autres autorisations. Pour chaque bloc, répétez les étapes 2 à 5.

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l’éditeur visuel, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page Restructuration de politique dans le Guide de l’utilisateur IAM.

  9. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les AWS CloudFormation modèles.

    Pour ce faire, dans l'éditeur de politiques, sélectionnez Actions, puis sélectionnez Générer CloudFormation un modèle. Pour en savoir plus AWS CloudFormation, consultez la référence aux types de AWS Identity and Access Management ressources dans le Guide de AWS CloudFormation l'utilisateur.

  10. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez Suivant.

  11. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour vous assurer que vous les avez accordées comme prévu.

  12. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section Balises pour les AWS Identity and Access Management ressources dans le Guide de l'utilisateur d'IAM.

  13. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Pour accorder un accès programmatique

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.
IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Protégez-vous contre les attaquants

Pour plus d'informations sur la manière de vous protéger contre les attaquants lorsque vous accordez des autorisations à d'autres responsables de AWS service, consultez Conditions facultatives relatives à vos relations de confiance en matière de rôles. En ajoutant certaines conditions à vos politiques, vous pouvez contribuer à empêcher un type d'attaque spécifique, connu sous le nom d'attaque adjointe confuse, qui se produit lorsqu'une entité contraint une entité plus privilégiée à effectuer une action, par exemple dans le cas d'une usurpation d'identité interservices. Pour des informations générales sur les conditions du contrat, voir égalementSpécification de conditions dans une politique.

Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec AWS Control Tower, consultez. Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.