Gestion des accès pour AWS DataSync - AWS DataSync
DataSync ressources et opérationsPrésentation de la propriété des ressourcesGestion de l’accès aux ressources Spécification des éléments d’une politique : actions, effets, ressources et principauxSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des accès pour AWS DataSync

Chaque AWS ressource appartient à un Compte AWS. Les autorisations pour créer ou accéder à un ressource sont gérées par des stratégies d'autorisations. Un administrateur de compte peut associer des politiques d'autorisation aux identités AWS Identity and Access Management (IAM). Certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte est un utilisateur doté de privilèges d'administrateur dans un Compte AWS. Pour plus d’informations, consultez Bonnes pratiques IAM dans le Guide de l’utilisateur IAM.

DataSync ressources et opérations

Dans DataSync, les ressources principales sont l'agent, l'emplacement, la tâche et l'exécution des tâches.

Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.

Type de ressource Format ARN

ARN de l'agent

arn:aws:datasync:region:account-id:agent/agent-id
ARN de l'emplacement

arn:aws:datasync:region:account-id:location/location-id
ARN de tâche

arn:aws:datasync:region:account-id:task/task-id

ARN d'exécution des tâches

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

L'octroi d'autorisations pour des opérations d'API spécifiques, telles que la création d'une tâche, DataSync définit un ensemble d'actions que vous pouvez spécifier dans une politique d'autorisation. Une opération d'API peut exiger des autorisations pour plusieurs actions. Pour obtenir la liste de toutes les actions d' DataSync API et des ressources auxquelles elles s'appliquent, consultezDataSync Autorisations d'API : actions et ressources.

Présentation de la propriété des ressources

Le propriétaire de la ressource est celui Compte AWS qui a créé la ressource. C'est-à-dire que le propriétaire Compte AWS de la ressource est l'entité principale (par exemple, un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent le fonctionnement de ce comportement :

  • Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une tâche, vous Compte AWS êtes le propriétaire de la ressource (dans DataSync, la ressource est la tâche).

  • Si vous créez un rôle IAM dans votre Compte AWS et que vous accordez des autorisations pour l'CreateTaskaction à cet utilisateur, celui-ci peut créer une tâche. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de tâche.

  • Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer une tâche, toute personne capable d'assumer ce rôle peut créer une tâche. C'est à vous Compte AWS, à qui appartient le rôle, que appartient la ressource de tâche.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte de DataSync. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la référence des AWS Identity and Access Management politiques dans le Guide de l'utilisateur IAM.

Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources. DataSync prend uniquement en charge les politiques basées sur l'identité (politiques IAM).

Politiques basées sur l’identité

Vous pouvez gérer l'accès aux DataSync ressources à l'aide de politiques IAM. Ces politiques peuvent aider un Compte AWS administrateur à effectuer les opérations suivantes avec DataSync :

  • Accordez des autorisations pour créer et gérer DataSync des ressources : créez une politique IAM qui permet à un rôle IAM de Compte AWS créer et de gérer des DataSync ressources, telles que des agents, des sites et des tâches.

  • Accorder des autorisations à un rôle dans un autre Compte AWS ou un Service AWS — Créez une politique IAM qui accorde des autorisations à un rôle IAM dans un autre Compte AWS ou un. Service AWS Par exemple :

    1. L'administrateur du compte A crée un rôle IAM et associe une politique d'autorisation au rôle qui accorde des autorisations sur les ressources du compte A.

    2. L'administrateur du compte A attache une politique de confiance au rôle qui identifie le compte B comme le principal habilité à assumer le rôle.

      Pour accorder à un Service AWS utilisateur l'autorisation d'assumer ce rôle, l'administrateur du compte A peut spécifier un Service AWS comme principal dans la politique de confiance.

    3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet à toute personne utilisant le rôle dans le compte B de créer ou d'accéder aux ressources du compte A.

    Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, veuillez consulter la section Access management (français non garanti) dans le Guide de l'utilisateur IAM.

L'exemple de politique suivant accorde des autorisations à toutes les List* actions sur toutes les ressources. Cette action est en lecture seule et n'autorise pas la modification des ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec DataSync, consultez les sections Politiques AWS gérées et Politiques gérées par le client. Pour plus d'informations sur les identités IAM, consultez le guide de l'utilisateur IAM.

Politiques basées sur les ressources

D'autres services, tels qu'Amazon S3, prennent en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. Toutefois, DataSync ne prend pas en charge les politiques basées sur les ressources.

Spécification des éléments d’une politique : actions, effets, ressources et principaux

Pour chaque DataSync ressource (voirDataSync Autorisations d'API : actions et ressources), le service définit un ensemble d'opérations d'API (voir Actions). Pour accorder des autorisations pour ces opérations d'API DataSync , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la DataSync ressource, les actions suivantes sont définies : CreateTaskDeleteTask, etDescribeTask. Une opération d’API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour les ressources DataSync, vous pouvez utiliser le caractère générique (*) dans les stratégies IAM. Pour de plus amples informations, veuillez consulter DataSync ressources et opérations.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'Effectélément spécifié, l'datasync:CreateTaskautorisation autorise ou refuse à l'utilisateur l'autorisation d'effectuer l' DataSync CreateTaskopération.

  • Effet : vous spécifiez l'effet lorsque l'utilisateur demande l'action spécifique. Cet effet peut être soit soitAllow. Deny Si vous n'accordez pas explicitement l'accès à (Allow) une ressource, l'accès est implicitement refusé. Vous pouvez également refuser explicitement l'accès à une ressource, ce que vous pouvez faire pour vous assurer qu'un utilisateur ne peut pas y accéder, même si une politique différente accorde cet accès à cet utilisateur. Pour plus d'informations, consultez la section Autorisation dans le guide de l'utilisateur IAM.

  • Principal – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). DataSync ne prend pas en charge les politiques basées sur une ressource.

Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, consultez la référence aux AWS Identity and Access Management politiques dans le Guide de l'utilisateur IAM.

Pour un tableau présentant toutes les actions de l' DataSync API, consultezDataSync Autorisations d'API : actions et ressources.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifier les conditions définissant à quel moment une stratégie doit prendre effet lors de l'octroi des autorisations. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification des conditions dans le langage des politiques, consultez la section Condition du guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à DataSync. Cependant, il existe de AWS larges clés de condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des touches AWS larges, consultez la section Clés disponibles dans le guide de l'utilisateur IAM.