Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des accès pourAWS DataSync
ChaqueAWS ressource appartient à unCompte AWS. Les autorisations pour créer ou accéder à un ressource sont gérées par des stratégies d'autorisations. Un compte administrateur peut attacher des politiques d'autorisation à des identitésAWS Identity and Access Management (IAM). Certains services (comme AWS Lambda) prennent également en charge l'attachement de stratégies d'autorisation aux ressources.
Note
Un administrateur de compte est un utilisateur doté des privilèges d'administrateur dans unCompte AWS. Pour plus d'informations, consultez Les meilleures pratiques IAM dans le Guide de l'utilisateur IAM.
Rubriques
Ressources et opérations DataSync
DansDataSync, les ressources principales sont l'agent, l'emplacement, la tâche et l'exécution des tâches.
Ces ressources ont des noms ARN (Amazon Resource Name) uniques qui leur sont associés, comme cela est illustré dans le tableau suivant.
| Type de ressource | Format ARN |
|---|---|
|
ARN de l'agent |
|
| ARN de l'emplacement |
|
| ARN de tâche |
|
| ARN d'exécution de tâche |
|
Pour accorder des autorisations pour des opérations d'API spécifiques, telles que la création d'une tâche,DataSync définit un ensemble d'actions que vous pouvez spécifier dans une politique d'autorisation. Une opération d'API peut exiger des autorisations pour plusieurs actions. Pour obtenir la liste de toutes les actions d'DataSyncAPI et des ressources auxquelles elles s'appliquent, consultezDataSyncAutorisations d'API : actions et ressources.
Présentation de la propriété des ressources
Le propriétaire de la ressource estCompte AWS celui qui l'a créée. Autrement dit, le propriétaireCompte AWS de la ressource appartient à l'entité principale (par exemple, un rôle IAM) qui authentifie la demande ayant créé la ressource. Les exemples suivants illustrent le fonctionnement de ce comportement :
-
Si vous utilisez les informations d'identification de compte racine de votre compteCompte AWS pour créer une tâche, vous êtes le propriétaire de la ressource (dansDataSync, la ressource appartient à la tâche).Compte AWS
-
Si vous créez des rôles IAM dans votre compteCompte AWS et que vous accordez des autorisations pour l'
CreateTaskaction à cet utilisateur, celui-ci peut créer une tâche. Toutefois, votre propriétaireCompte AWS, auquel l'utilisateur appartient, propriétaire de la ressource de tâche. -
Si vous créez un rôle IAMCompte AWS disposant des autorisations pour créer une tâche, quiconque pouvant assumer ce rôle peut créer une tâche. VousCompte AWS, auquel le rôle appartient, propriétaire de la ressource de tâche.
Gestion de l'accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section décrit l'utilisation d'IAM dans le contexte d' DataSync. Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultezAWS Identity and Access Management la Référence des stratégies dans le Guide de l'utilisateur IAM.
Les politiques attachées à une identité IAM sont appelées politiques basées sur une entité (politiques IAM) et les politiques attachées à une ressource sont appelées politiques basées sur une ressource. DataSync prend en charge uniquement les stratégies basées sur l'identité (stratégies IAM).
Politiques basées sur l'identité
Vous pouvez gérer l'accès auxDataSync ressources à l'aide de politiques IAM. Ces politiques peuvent aider unCompte AWS administrateur à effectuer les opérations suivantesDataSync :
-
Accordez des autorisations pour créer et gérerDataSync des ressources : créez une politique IAM qui autorise un rôle IAM au sein de vousCompte AWS à créer et à gérerDataSync des ressources, telles que des agents, des emplacements et des tâches.
-
Accorder des autorisations à un rôle dans un autreCompte AWS ou dans unService AWS : créez une politique IAM qui accorde des autorisations à un rôle IAM dans un rôle différentCompte AWS ou dans unService AWS. Par exemple :
-
L'administrateur du compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le compte A.
-
L'administrateur du compte A attache une politique d'approbation au rôle qui identifie le compte B comme principal pouvant assumer ce rôle.
Pour accorder à unService AWS utilisateur l'autorisation d'assumer ce rôle, l'administrateur du compte A peut spécifier unService AWS comme principal dans la politique de confiance.
-
L'administrateur du compte B peut alors déléguer des autorisations pour assumer ce rôle auprès de tous les utilisateurs figurant dans le compte B. Toute personne utilisant le rôle dans le compte B peut créer des ressources ou à y accéder dans le compte A.
Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, consultez la rubrique Gestion des accès dans le Guide de l'utilisateur IAM.
-
L'exemple de politique suivant accorde des autorisations pour toutes lesList* actions sur toutes les ressources. Cette action est en lecture seule et n'autorise pas la modification des ressources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllListActionsOnAllResources", "Effect": "Allow", "Action": [ "datasync:List*" ], "Resource": "*" } ] }
Pour plus d'informations sur l'utilisation des politiques basées sur l'identité avecDataSync, consultez PolitiquesAWS gérées et politiques gérées par le client. Pour plus d'informations sur les identités IAM, consultez le Guide de l'utilisateur IAM.
Politiques basées sur les ressources
D'autres services, tels qu'Amazon S3, prennent en charge les politiques d'autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. IlDataSync ne prend toutefois pas en charge les politiques basées sur une ressource.
Spécification des éléments d'une politique : actions, effets, ressources et principaux
Pour chaque ressource DataSync (voir DataSyncAutorisations d'API : actions et ressources), le service définit un ensemble d'opérations d'API (voir Actions). Pour accorder des autorisations pour ces opérations d'API, DataSync définit un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la ressource DataSync, les actions suivantes sont définies : CreateTask, DeleteTask et DescribeTask. Une opération d'API peut exiger des autorisations pour plusieurs actions.
Voici les éléments les plus élémentaires d'une politique :
-
Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour les ressources DataSync, vous pouvez utiliser le caractère générique
(*)dans les stratégies IAM. Pour plus d'informations, veuillez consulter Ressources et opérations DataSync. -
Action : vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'
Effectélément spécifié, l'datasync:CreateTaskautorisation accorde ou refuse à l'utilisateur des autorisations d'exécution de l'DataSyncCreateTaskopération. -
Effet — Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique. Il peut s'agir de
AllowouDeny. Si vous n'accordez pas explicitement l'accès à (Allow) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde à cet utilisateur l'accès. Pour plus d'informations, consultez la section Autorisation dans le guide de l'utilisateur IAM. -
Principal : dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). DataSync ne prend pas en charge les politiques basées sur une ressource.
Pour en savoir plus sur la syntaxe et les descriptions des stratégies IAM, consultez la Référence desAWS Identity and Access Management stratégies dans le Guide de l'utilisateur IAM.
Pour visualiser un tableau répertoriant toutes les actions d'API DataSync, consultez DataSyncAutorisations d'API : actions et ressources.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifier les conditions définissant à quel moment une stratégie doit prendre effet lors de l'octroi des autorisations. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans le langage des politiques, consultez Condition dans le Guide de l'utilisateur IAM.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à DataSync. Il existe toutefois des clésAWS de condition à l'échelle d'que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des clés à l'AWSéchelle, consultez Clés disponibles dans le Guide de l'utilisateur IAM.
