Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès dans AWS DataSync
AWS utilise des identifiants de sécurité pour vous identifier et vous donner accès à vos AWS ressources. Vous pouvez utiliser les fonctionnalités de Gestion des identités et des accès AWS (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos AWS ressources dans leur intégralité ou de manière limitée, sans partager vos informations d'identification de sécurité.
Par défaut, les identités IAM (utilisateurs, groupes et rôles) ne sont pas autorisées à créer, afficher ou modifier AWS des ressources. Pour permettre aux utilisateurs, aux groupes et aux rôles d'accéder aux AWS DataSync ressources et d'interagir avec la DataSync console et l'API, nous vous recommandons d'utiliser une politique IAM qui leur accorde l'autorisation d'utiliser les ressources et les actions d'API spécifiques dont ils auront besoin. Ensuite, vous attachez la stratégie à l'identité IAM qui requiert l'accès. Pour obtenir une présentation des éléments d'une stratégie, consultez [Gestion des accès pour AWS DataSync](managing-access-overview.md).
**Topics**
+ [Gestion des accès pour AWS DataSync](managing-access-overview.md)
+ [AWS politiques gérées pour AWS DataSync](security-iam-awsmanpol.md)
+ [Politiques gérées par le client IAM pour AWS DataSync](using-identity-based-policies.md)
+ [Utilisation de rôles liés à un service pour DataSync](using-service-linked-roles.md)
+ [Autorisations pour le balisage des DataSync ressources lors de la création](supported-iam-actions-tagging.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
# Gestion des accès pour AWS DataSync
Chaque AWS ressource appartient à un Compte AWS. Les autorisations pour créer ou accéder à un ressource sont gérées par des stratégies d'autorisations. Un administrateur de compte peut associer des politiques d'autorisation aux identités Gestion des identités et des accès AWS (IAM). Certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.
**Note**
Un *administrateur de compte* est un utilisateur doté de privilèges d'administrateur dans un Compte AWS. Pour plus d’informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [DataSync ressources et opérations](#access-control-specify-datasync-actions)
+ [Présentation de la propriété des ressources](#access-control-owner)
+ [Gestion de l’accès aux ressources](#access-control-managing-permissions)
+ [Spécification des éléments d’une politique : actions, effets, ressources et principaux](#policy-elements)
+ [Spécification de conditions dans une politique](#specifying-conditions)
+ [Création d'une politique de point de terminaison VPC](#endpoint-policy-example)
## DataSync ressources et opérations
Dans DataSync, les ressources principales sont l'agent, l'emplacement, la tâche et l'exécution des tâches.
Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.
| Type de ressource | Format ARN |
| --- | --- |
| ARN de l'agent | `arn:aws:datasync:region:account-id:agent/agent-id` |
| ARN de l'emplacement | `arn:aws:datasync:region:account-id:location/location-id` |
| ARN de tâche | `arn:aws:datasync:region:account-id:task/task-id ` |
| ARN d'exécution des tâches | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
L'octroi d'autorisations pour des opérations d'API spécifiques, telles que la création d'une tâche, DataSync définit un ensemble d'actions que vous pouvez spécifier dans une politique d'autorisation. Une opération d'API peut exiger des autorisations pour plusieurs actions.
## Présentation de la propriété des ressources
*Le propriétaire de la ressource* est celui Compte AWS qui a créé la ressource. C'est-à-dire que le propriétaire Compte AWS de la ressource est l'*entité principale* (par exemple, un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent le fonctionnement de ce comportement :
+ Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une tâche, vous Compte AWS êtes le propriétaire de la ressource (dans DataSync, la ressource est la tâche).
+ Si vous créez un rôle IAM dans votre Compte AWS et que vous accordez des autorisations pour l'`CreateTask`action à cet utilisateur, celui-ci peut créer une tâche. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de tâche.
+ Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer une tâche, toute personne capable d'assumer ce rôle peut créer une tâche. C'est à vous Compte AWS, à qui appartient le rôle, que appartient la ressource de tâche.
## Gestion de l’accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte de DataSync. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique[ Qu'est-ce que IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la [référence des Gestion des identités et des accès AWS politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le Guide de l'*utilisateur IAM*.
*Les politiques associées à une identité IAM sont appelées politiques *basées sur l'identité* (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources.* DataSync prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
**Topics**
+ [Politiques basées sur l’identité](#identity-based-policies)
+ [Politiques basées sur les ressources](#resource-based-policies)
### Politiques basées sur l’identité
Vous pouvez gérer l'accès aux DataSync ressources à l'aide de politiques IAM. Ces politiques peuvent aider un Compte AWS administrateur à effectuer les opérations suivantes avec DataSync :
+ **Accordez des autorisations pour créer et gérer DataSync des ressources** : créez une politique IAM qui permet à un rôle IAM de Compte AWS créer et de gérer des DataSync ressources, telles que des agents, des sites et des tâches.
+ **Accorder des autorisations à un rôle dans un autre Compte AWS ou un Service AWS** — Créez une politique IAM qui accorde des autorisations à un rôle IAM dans un autre Compte AWS ou un. Service AWS Par exemple :
1. L'administrateur du compte A crée un rôle IAM et associe une politique d'autorisation au rôle qui accorde des autorisations sur les ressources du compte A.
1. L'administrateur du compte A attache une politique de confiance au rôle qui identifie le compte B comme le principal habilité à assumer le rôle.
Pour accorder à un Service AWS utilisateur l'autorisation d'assumer ce rôle, l'administrateur du compte A peut spécifier un Service AWS comme principal dans la politique de confiance.
1. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet à toute personne utilisant le rôle dans le compte B de créer ou d'accéder aux ressources du compte A.
Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, veuillez consulter la section [Access management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) (français non garanti) dans le *Guide de l'utilisateur IAM*.
L'exemple de politique suivant accorde des autorisations à toutes les `List*` actions sur toutes les ressources. Cette action est en lecture seule et n'autorise pas la modification des ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec DataSync, consultez les sections [Politiques AWS gérées et Politiques gérées](security-iam-awsmanpol.md) [par le client](using-identity-based-policies.md). Pour plus d'informations sur les identités IAM, consultez le guide de l'[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html).
### Politiques basées sur les ressources
D'autres services, tels qu'Amazon S3, prennent en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. Toutefois, DataSync ne prend pas en charge les politiques basées sur les ressources.
## Spécification des éléments d’une politique : actions, effets, ressources et principaux
Pour chaque DataSync ressource, le service définit un ensemble d'opérations d'API (voir [Actions](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)). Pour accorder des autorisations pour ces opérations d'API DataSync , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la DataSync ressource, les actions suivantes sont définies : `CreateTask``DeleteTask`, et`DescribeTask`. Une opération d’API peut exiger des autorisations pour plusieurs actions.
Voici les éléments les plus élémentaires d'une politique :
+ **Ressource** : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour les ressources DataSync, vous pouvez utiliser le caractère générique `(*)` dans les stratégies IAM. Pour de plus amples informations, veuillez consulter [DataSync ressources et opérations](#access-control-specify-datasync-actions).
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'`Effect`élément spécifié, l'`datasync:CreateTask`autorisation autorise ou refuse à l'utilisateur l'autorisation d'effectuer l' DataSync `CreateTask`opération.
+ **Effet** : vous spécifiez l'effet lorsque l'utilisateur demande l'action spécifique. Cet effet peut être soit soit`Allow`. `Deny` Si vous n'accordez pas explicitement l'accès à (`Allow`) une ressource, l'accès est implicitement refusé. Vous pouvez également refuser explicitement l'accès à une ressource, ce que vous pouvez faire pour vous assurer qu'un utilisateur ne peut pas y accéder, même si une politique différente accorde cet accès à cet utilisateur. Pour plus d'informations, consultez la section [Autorisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) dans le *guide de l'utilisateur IAM*.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). DataSync ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, consultez la [référence aux Gestion des identités et des accès AWS politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le Guide de l'*utilisateur IAM*.
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifier les conditions définissant à quel moment une stratégie doit prendre effet lors de l'octroi des autorisations. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification des conditions dans le langage des politiques, consultez la section [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) du *guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à DataSync. Cependant, il existe de AWS larges clés de condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des touches AWS larges, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
## Création d'une politique de point de terminaison VPC
Les politiques relatives aux points de terminaison VPC permettent de contrôler l'accès aux opérations d' DataSync API via les points de terminaison de DataSync VPC service et les points de terminaison de service VPC compatibles FIPS. Les politiques de point de terminaison VPC vous permettent de restreindre des actions d' DataSync API spécifiques accessibles via vos points de terminaison VPC de service, telles que ou. `CreateTask` `StartTaskExecution`
Une politique de point de terminaison spécifie les informations suivantes :
+ Le mandataire qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez [Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Exemple de stratégie**
Voici un exemple de politique de point de terminaison.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS politiques gérées pour AWS DataSync
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
Services AWS maintenir et mettre à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à toutes Services AWS les ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSDataSyncReadOnlyAccess
Vous pouvez associer la politique `AWSDataSyncReadOnlyAccess` à vos identités IAM. Cette politique accorde des autorisations en lecture seule pour. DataSync
Pour voir les autorisations de cette stratégie, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSDataSyncFullAccess
Vous pouvez associer la politique `AWSDataSyncFullAccess` à vos identités IAM. Cette politique accorde des autorisations administratives DataSync et est requise pour AWS Management Console accéder au service. `AWSDataSyncFullAccess`fournit un accès complet aux opérations d' DataSync API et aux opérations qui interagissent avec les ressources associées (telles que les compartiments Amazon S3, les systèmes de fichiers Amazon EFS, AWS KMS les clés et les secrets de Secrets Manager). La politique accorde également des autorisations à Amazon CloudWatch, y compris la création de groupes de journaux et la création ou la mise à jour d'une politique de ressources.
Pour voir les autorisations de cette stratégie, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSDataSyncServiceRolePolicy
Vous ne pouvez pas associer la `AWSDataSyncServiceRolePolicy` politique à vos identités IAM. Cette politique est associée à un rôle lié à un service qui permet d' DataSync effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour DataSync](using-service-linked-roles.md).
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service de créer des CloudWatch journaux Amazon pour les DataSync tâches utilisant le mode amélioré.
## Mises à jour des politiques
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync déclarations d'autorisation modifiées pour `AWSDataSyncFullAccess` : Les instructions mises à jour suppriment les conditions de balisage des autorisations DataSync utilisées pour créer des secrets Secrets Manager. | 13 mai 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté de nouvelles autorisations pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Ces autorisations permettent de DataSync créer, de modifier et de supprimer AWS Secrets Manager des secrets. | 7 mai 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté de nouvelles autorisations pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Ces autorisations permettent de DataSync récupérer des métadonnées concernant vos AWS Secrets Manager secrets et vos AWS KMS clés, y compris les alias associés à vos clés. | 23 avril 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy)— Modification | DataSync a ajouté de nouvelles autorisations à la `AWSDataSyncServiceRolePolicy` politique utilisée par le rôle DataSync lié au service : `AWSServiceRoleForDataSync` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Ces autorisations permettent de DataSync lire les métadonnées et les valeurs des secrets gérés par AWS Secrets Manager. | 15 avril 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) : nouvelle politique | DataSync a ajouté une politique qui est utilisée par le rôle DataSync lié au service. `AWSServiceRoleForDataSync` Cette nouvelle politique gérée crée automatiquement des CloudWatch journaux Amazon pour vos DataSync tâches qui utilisent le mode amélioré. | 30 octobre 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté une nouvelle autorisation pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Cette autorisation permet de DataSync créer des rôles liés à un service pour vous. | 30 octobre 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté une nouvelle autorisation pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Cette autorisation vous permet de choisir des régions facultatives lors de la création d'une DataSync tâche pour les transferts entre Régions AWS celles-ci. | 22 juillet 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté une nouvelle autorisation pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Cette autorisation vous permet de choisir une version spécifique de votre [DataSync manifeste](transferring-with-manifest.md). | 16 février 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Modification | DataSync a ajouté de nouvelles autorisations pour `AWSDataSyncFullAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/security-iam-awsmanpol.html) Ces autorisations vous aident à créer DataSync des agents et des emplacements pour Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 et S3 on Outposts. | 2 mai 2023 |
| DataSync a commencé à suivre les modifications | DataSync a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er mars 2021 |
# Politiques gérées par le client IAM pour AWS DataSync
Outre les politiques AWS gérées, vous pouvez également créer vos propres politiques basées sur les identités AWS DataSync et les associer aux identités Gestion des identités et des accès AWS (IAM) qui nécessitent ces autorisations. Ces politiques sont connues sous le nom de *politiques gérées par le client*, qui sont des politiques autonomes que vous administrez vous-même. Compte AWS
**Important**
Avant de commencer, nous vous recommandons de vous renseigner sur les concepts de base et les options de gestion de l'accès à vos DataSync ressources. Pour de plus amples informations, veuillez consulter [Gestion des accès pour AWS DataSync](managing-access-overview.md).
Lorsque vous créez une politique gérée par le client, vous incluez des déclarations concernant les DataSync opérations qui peuvent être utilisées sur certaines AWS ressources. L'exemple de politique suivant comporte deux déclarations (notez les `Resource` éléments `Action` et de chaque déclaration) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Les énoncés de la politique ont les objectifs suivants :
+ La première instruction autorise l'exécution de l'`datasync:DescribeTask`action sur certaines ressources des tâches de transfert en spécifiant un Amazon Resource Name (ARN) avec un caractère générique (`*`).
+ La deuxième instruction autorise l'exécution de l'`datasync:ListTasks`action sur toutes les tâches en spécifiant simplement un caractère générique (`*`).
## Exemples de politiques gérées par le client
L'exemple suivant de politiques gérées par le client octroie des autorisations pour diverses DataSync opérations. Les politiques fonctionnent si vous utilisez le AWS Command Line Interface (AWS CLI) ou un AWS SDK. Pour utiliser ces politiques dans la console, vous devez également utiliser la stratégie gérée`AWSDataSyncFullAccess`.
**Topics**
+ [Exemple 1 : créer une relation de confiance qui permet DataSync d'accéder à votre compartiment Amazon S3](#datasync-example1)
+ [Exemple 2 : DataSync Autoriser la lecture et l'écriture dans votre compartiment Amazon S3](#datasync-example2)
+ [Exemple 3 : Autoriser DataSync le téléchargement de journaux vers des groupes de CloudWatch journaux](#datasync-example4)
### Exemple 1 : créer une relation de confiance qui permet DataSync d'accéder à votre compartiment Amazon S3
Voici un exemple de politique de confiance qui permet d' DataSync assumer un rôle IAM. Ce rôle permet DataSync d'accéder à un compartiment Amazon S3. Pour éviter le [problème de confusion entre les services adjoints](cross-service-confused-deputy-prevention.md), nous vous recommandons d'utiliser les clés de contexte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale dans la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Exemple 2 : DataSync Autoriser la lecture et l'écriture dans votre compartiment Amazon S3
L'exemple de politique suivant accorde DataSync les autorisations minimales pour lire et écrire des données dans un compartiment S3 utilisé comme emplacement de destination.
**Note**
La valeur de `aws:ResourceAccount` doit être l'ID de compte qui possède le compartiment Amazon S3 spécifié dans la politique.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Exemple 3 : Autoriser DataSync le téléchargement de journaux vers des groupes de CloudWatch journaux
DataSync nécessite des autorisations pour pouvoir télécharger des journaux dans vos groupes de CloudWatch journaux Amazon. Vous pouvez utiliser des groupes de CloudWatch journaux pour surveiller et déboguer vos tâches.
Pour un exemple de politique IAM qui accorde de telles autorisations, consultez[DataSync Autoriser le téléchargement de journaux dans un groupe de CloudWatch journaux](configure-logging.md#cloudwatchlogs).
# Utilisation de rôles liés à un service pour DataSync
AWS DataSync utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. DataSync Les rôles liés au service sont prédéfinis par DataSync et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
**Topics**
+ [Utilisation de rôles pour DataSync](using-service-linked-roles-service-action-2.md)
# Utilisation de rôles pour DataSync
AWS DataSync utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. DataSync Les rôles liés au service sont prédéfinis par DataSync et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration DataSync car vous n'avez pas à ajouter manuellement les autorisations nécessaires. DataSync définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul DataSync peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos DataSync ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées au service pour DataSync
DataSync utilise le rôle lié au service nommé **AWSServiceRoleForDataSync**— Permet d' DataSync effectuer des opérations essentielles pour l'exécution des tâches de transfert, notamment la lecture de secrets et la création de AWS Secrets Manager groupes de CloudWatch journaux et d'événements.
Le rôle AWSService RoleForDataSync lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `datasync.amazonaws.com`
Le rôle lié à un service utilise la politique AWS gérée nommée [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), qui permet d' DataSync effectuer les actions suivantes sur les ressources spécifiées :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour DataSync
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une DataSync tâche dans le AWS Management Console, le ou l' AWS API AWS CLI, vous DataSync créez le rôle lié au service pour vous.
Dans l'API AWS CLI ou dans l' AWS API, vous pouvez créer un rôle lié à un service avec le nom du `datasync.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une DataSync tâche, le rôle lié au service est à nouveau DataSync créé pour vous.
Si vous supprimez ce rôle lié à un service, vous pouvez utiliser le même processus IAM pour recréer le rôle.
## Modification d'un rôle lié à un service pour DataSync
DataSync ne vous permet pas de modifier le rôle AWSService RoleForDataSync lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour DataSync
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle.
**Note**
Si le DataSync service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer DataSync les ressources utilisées par le AWSService RoleForDataSync**
1. [Supprimez les DataSync agents](clean-up.md#deleting-agent) utilisés par la tâche (le cas échéant).
1. [Supprimez les emplacements de la tâche](clean-up.md#deleting-location).
1. [Supprimez la tâche](clean-up.md#delete-task).
### Suppression manuelle du rôle lié au service
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au AWSService RoleForDataSync service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles DataSync liés à un service
DataSync prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Autorisations pour le balisage des DataSync ressources lors de la création
Certaines actions d' AWS DataSync API de création de ressources vous permettent de spécifier des balises lors de la création de la ressource. Vous pouvez utiliser des balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
Pour permettre aux utilisateurs de baliser les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource (telle que `datasync:CreateAgent` ou`datasync:CreateTask`). Si des balises sont spécifiées dans l'action de création de ressources, les utilisateurs doivent également disposer d'autorisations explicites pour utiliser l'`datasync:TagResource`action.
L’action `datasync:TagResource` est uniquement évaluée si les balises sont appliquées pendant l’action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'`datasync:TagResource`action si aucune balise n'est spécifiée dans la demande.
Toutefois, si l'utilisateur tente de créer une ressource avec des balises, la demande échoue s'il n'est pas autorisé à utiliser l'`datasync:TagResource`action.
## Exemples de déclarations de politique IAM
Utilisez les exemples de déclarations de politique IAM suivants pour accorder des `TagResource` autorisations aux utilisateurs qui créent DataSync des ressources.
L'instruction suivante permet aux utilisateurs de baliser un DataSync agent lorsqu'ils le créent.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
L'instruction suivante permet aux utilisateurs de baliser un DataSync emplacement lorsqu'ils le créent.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
L'instruction suivante permet aux utilisateurs de baliser une DataSync tâche lorsqu'ils la créent.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS DataSync accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient l'ID de compte, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. À utiliser `aws:SourceAccount` si vous souhaitez qu'une ressource de ce compte soit associée à l'utilisation interservices.
La valeur de `aws:SourceArn` doit inclure l'ARN d' DataSync emplacement avec lequel DataSync il est autorisé à assumer le rôle IAM.
Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints est d'utiliser la `aws:SourceArn` clé avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs ressources, utilisez des caractères génériques (`*`) pour les parties inconnues. Voici quelques exemples de la manière de procéder pour DataSync :
+ Pour limiter la politique de confiance à un DataSync emplacement existant, incluez l'ARN complet du site dans la politique. DataSync assumera le rôle IAM uniquement lorsqu'il s'agit de cet emplacement particulier.
+ Lorsque vous créez un emplacement Amazon S3 pour DataSync, vous ne connaissez pas l'ARN du site. Dans ces scénarios, utilisez le format suivant pour la `aws:SourceArn` clé :`arn:aws:datasync:us-east-2:123456789012:*`. Ce format valide la partition (`aws`), l'ID de compte et la région.
L'exemple complet suivant montre comment utiliser les clés de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et les clés de contexte dans une politique de confiance afin d'éviter le problème de confusion lié aux adjoints DataSync.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Pour d'autres exemples de politiques indiquant comment utiliser les clés contextuelles de condition `aws:SourceAccount` globale `aws:SourceArn` et les clés contextuelles avec DataSync, consultez les rubriques suivantes :
+ [Créez une relation de confiance qui permet DataSync d'accéder à votre compartiment Amazon S3](using-identity-based-policies.md#datasync-example1)
+ [Configurer un rôle IAM pour accéder à votre compartiment Amazon S3](create-s3-location.md#create-role-manually)