Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité sur Amazon FSx
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le cloud Amazon Web Services. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon FSx pour Windows File Server, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon FSx pour Windows File Server. Les rubriques suivantes expliquent comment configurer le serveur de fichiers Amazon FSx pour Windows afin de répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser les ressources de votre serveur de fichiers Amazon FSx pour Windows.
**Topics**
+ [Protection des données dans Amazon FSx pour Windows File Server](data-protection-encryption.md)
+ [Contrôle d'accès au niveau des fichiers et des dossiers à l'aide de Windows ACLs](limit-access-file-folder.md)
+ [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md)
+ [Enregistrement de l'accès des utilisateurs finaux avec audit de l'accès aux fichiers](file-access-auditing.md)
+ [Gestion des identités et des accès pour Amazon FSx pour Windows File Server](security-iam.md)
+ [Validation de conformité pour le serveur de fichiers Amazon FSx pour Windows](fsx-compliance.md)
+ [Serveur de fichiers Amazon FSx pour Windows et points de terminaison VPC d'interface](fsx-vpc-endpoints.md)
# Protection des données dans Amazon FSx pour Windows File Server
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon FSx pour Windows File Server. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec un serveur FSx de fichiers Windows ou autre à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement des données dans FSx le serveur de fichiers Windows
Amazon FSx pour Windows File Server prend en charge le chiffrement des données au repos et le chiffrement des données en transit. Le chiffrement des données au repos est automatiquement activé lors de la création d'un système de FSx fichiers Amazon. Le chiffrement des données en transit est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou une version ultérieure. Amazon chiffre FSx automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.
### Quand utiliser le chiffrement ?
Si votre organisation est soumise à des politiques d'entreprise ou des réglementations nécessitant le chiffrement des données et des métadonnées au repos, nous vous recommandons de créer un système de fichiers chiffré en montant votre système de fichiers à l'aide du chiffrement des données en transit.
Si votre entreprise est soumise à des politiques d'entreprise ou réglementaires qui exigent le chiffrement des données et des métadonnées au repos, vos données sont automatiquement chiffrées au repos. Nous vous recommandons également d'activer le chiffrement des données en transit en installant votre système de fichiers à l'aide du chiffrement des données en transit.
# Chiffrement de données au repos
Tous les systèmes de FSx fichiers Amazon sont chiffrés au repos avec des clés gérées à l'aide de AWS Key Management Service (AWS KMS). Les données sont automatiquement cryptées avant d'être écrites dans le système de fichiers et déchiffrées automatiquement au fur et à mesure de leur lecture. Ces processus sont gérés de manière transparente par Amazon FSx, vous n'avez donc pas à modifier vos applications.
Amazon FSx utilise un algorithme de chiffrement AES-256 conforme aux normes du secteur pour chiffrer les FSx données et métadonnées Amazon au repos. Pour de plus amples informations, consultez [Principes de base du chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) dans le *Guide du développeur AWS Key Management Service *.
**Note**
L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.
## Comment Amazon FSx utilise AWS KMS
Amazon FSx s'intègre à AWS KMS la gestion des clés. Amazon FSx utilise un AWS KMS key pour chiffrer votre système de fichiers. Vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les systèmes de fichiers (données et métadonnées). Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :
+ **Clé gérée par AWS**— Il s'agit de la clé KMS par défaut, dont l'utilisation est gratuite.
+ **Clé gérée par le client** – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur*.
Si vous utilisez une clé gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. En outre, avec une clé gérée par le client, vous pouvez choisir à tout moment à quel moment désactiver, réactiver, supprimer ou révoquer l'accès à votre clé KMS. Pour plus d'informations, consultez [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) dans le *guide du AWS Key Management Service développeur.*
## Politiques FSx clés d'Amazon pour AWS KMS
Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section [Utilisation des politiques clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *Guide du AWS Key Management Service développeur.*La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :
+ **kms:Encrypt** - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms:Decrypt** - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ReEncrypt** — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé KMS, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : GenerateDataKeyWithoutPlaintext** — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique clé par défaut sous **kms : GenerateDataKey \$1**.
+ **kms : CreateGrant** — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section [Utilisation des subventions](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le Guide du AWS Key Management Service développeur. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : DescribeKey** — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ListAliases** — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation alimente la liste des clés KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
# Chiffrement des données en transit
Le chiffrement des données en transit est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou une version ultérieure. Cela inclut toutes les versions de Windows à partir de Windows Server 2012 et Windows 8, ainsi que tous les clients Linux dotés du client Samba version 4.2 ou ultérieure. Le serveur de fichiers Amazon FSx pour Windows chiffre automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.
Le chiffrement SMB utilise l'algorithme AES-128-GCM ou AES-128-CCM (la variante GCM étant choisie si le client prend en charge SMB 3.1.1) comme algorithme de chiffrement, et assure également l'intégrité des données lors de la signature à l'aide des clés de session Kerberos SMB. L'utilisation de l'AES-128-GCM améliore les performances, par exemple en multipliant par deux les performances lors de la copie de fichiers volumineux via des connexions SMB cryptées.
Pour répondre aux exigences de conformité relatives au chiffrement permanent data-in-transit, vous pouvez limiter l'accès au système de fichiers afin de n'autoriser l'accès qu'aux clients qui prennent en charge le chiffrement des PME. Vous pouvez également activer ou désactiver le chiffrement en transit par partage de fichiers ou pour l'ensemble du système de fichiers. Cela vous permet d'avoir un mélange de partages de fichiers chiffrés et non chiffrés sur le même système de fichiers.
## Gestion du chiffrement en transit
Vous pouvez utiliser un ensemble de PowerShell commandes personnalisées pour contrôler le chiffrement de vos données en transit entre votre système FSx de fichiers Windows File Server et les clients. Vous pouvez limiter l'accès au système de fichiers aux seuls clients prenant en charge le chiffrement SMB afin que celui-ci data-in-transit soit toujours chiffré. Lorsque l'application du chiffrement est activée data-in-transit, les utilisateurs accédant au système de fichiers depuis des clients qui ne prennent pas en charge le chiffrement SMB 3.0 ne pourront pas accéder aux partages de fichiers pour lesquels le chiffrement est activé.
Vous pouvez également contrôler le chiffrement au niveau du data-in-transit partage de fichiers plutôt qu'au niveau du serveur de fichiers. Vous pouvez utiliser les contrôles de chiffrement au niveau du partage de fichiers pour associer des partages de fichiers chiffrés et non chiffrés sur le même système de fichiers si vous souhaitez appliquer le chiffrement en transit à certains partages de fichiers contenant des données sensibles et permettre à tous les utilisateurs d'accéder à d'autres partages de fichiers. Le chiffrement à l'échelle du serveur a priorité sur le chiffrement au niveau du partage. Si le chiffrement global est activé, vous ne pouvez pas désactiver le chiffrement de manière sélective pour certains partages.
Vous pouvez gérer le chiffrement en transit sur votre système de fichiers à l'aide de l'Amazon FSx CLI pour la gestion à distance sur PowerShell. Pour savoir comment utiliser cette CLI, consultez[Utilisation de l'Amazon FSx CLI pour PowerShell](administering-file-systems.md#remote-pwrshell).
Vous trouverez ci-dessous les commandes que vous pouvez utiliser pour gérer le chiffrement des utilisateurs en transit sur votre système de fichiers.
| Chiffrement dans Transit Command | Description |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Récupère la configuration du serveur SMB (Server Message Block). Dans la réponse du système, vous pouvez déterminer les paramètres de chiffrement en transit pour votre système de fichiers en fonction des valeurs des `RejectUnencryptedAccess` propriétés `EncryptData` et. |
| **Set-FSxSmbServerConfiguration** | Cette commande propose deux options pour configurer le chiffrement en transit de manière globale sur le système de fichiers : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Définissez ce paramètre sur `True` pour activer le chiffrement des données en transit pour le partage. Définissez ce paramètre sur `False` pour désactiver le chiffrement des données en transit pour le partage. |
L'aide en ligne de chaque commande fournit une référence de toutes les options de commande. Pour accéder à cette aide, exécutez la commande avec**-?**, par exemple**Get-FSxSmbServerConfiguration -?**.
# Contrôle d'accès au niveau des fichiers et des dossiers à l'aide de Windows ACLs
Amazon FSx pour Windows File Server prend en charge l'authentification basée sur l'identité via le protocole SMB (Server Message Block) via Microsoft Active Directory. Active Directory est le service d'annuaire Microsoft permettant de stocker des informations sur les objets du réseau et de faciliter la recherche et l'utilisation de ces informations par les administrateurs et les utilisateurs. Ces objets incluent généralement des ressources partagées telles que des serveurs de fichiers, des comptes d'utilisateurs et d'ordinateurs du réseau. Pour en savoir plus sur la prise en charge d'Active Directory sur Amazon FSx, consultez[Utilisation de Microsoft Active Directory](aws-ad-integration-fsxW.md).
Vos instances de calcul jointes à un domaine peuvent accéder aux partages de FSx fichiers Amazon à l'aide des informations d'identification Active Directory. Vous utilisez des listes de contrôle d'accès Windows standard (ACLs) pour un contrôle d'accès précis au niveau des fichiers et des dossiers. Les systèmes de FSx fichiers Amazon vérifient automatiquement les informations d'identification des utilisateurs accédant aux données du système de fichiers pour appliquer ces Windows ACLs.
Chaque système de FSx fichiers Amazon est fourni avec un partage de fichiers Windows par défaut appelé`share`. Les fenêtres de ce dossier partagé sont configurées ACLs pour autoriser l' read/write accès aux **utilisateurs authentifiés**, y compris les utilisateurs du domaine auquel le système de fichiers est joint et les utilisateurs des domaines dotés d'une relation de confiance. Ils permettent également un contrôle total du groupe d'administrateurs délégués de votre Active Directory qui est délégué pour effectuer des actions administratives sur vos systèmes de fichiers. Si vous intégrez votre système de fichiers à AWS Managed Microsoft AD, ce groupe est appelé FSx Administrateurs AWS délégués. Si vous intégrez votre système de fichiers à votre configuration Microsoft AD autogérée, ce groupe peut être composé d'administrateurs de domaine. Il peut également s'agir d'un groupe d'administrateurs délégués personnalisé que vous avez spécifié lors de la création du système de fichiers. Pour modifier le ACLs, vous pouvez mapper le partage en tant qu'utilisateur membre du groupe d'administrateurs délégués.
| |
| --- |
| Amazon FSx exige que l'utilisateur du SYSTÈME dispose des autorisations ACL NTFS de **contrôle total** sur tous les dossiers de votre système de fichiers. Ne modifiez pas les autorisations ACL NTFS pour cet utilisateur sur vos dossiers. Cela peut rendre votre partage de fichiers inaccessible et empêcher les sauvegardes du système de fichiers d'être utilisables. |
## Liens connexes
+ [Qu'est-ce que AWS Directory Service ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) dans le Guide AWS Directory Service d'administration.
+ [Créez votre répertoire Microsoft AD AWS géré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) dans le *Guide AWS Directory Service d'administration*.
+ [Quand créer une relation de confiance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dans le *guide AWS Directory Service d'administration*.
+ [Étape 1. Configuration d'un Active Directory](getting-started.md#prereq-step1).
# Contrôle d'accès au système de fichiers avec Amazon VPC
Vous accédez à votre système de FSx fichiers Amazon via une interface elastic network. Cette interface réseau réside dans le cloud privé virtuel (VPC) basé sur le service Amazon Virtual Private Cloud (Amazon VPC) que vous associez à votre système de fichiers. Vous vous connectez à votre système de FSx fichiers Amazon via son nom DNS (Domain Name Service). Le nom DNS correspond à l'adresse IP privée de l'interface elastic network du système de fichiers dans votre VPC. Seules les ressources au sein du VPC associé, les ressources connectées au VPC associé par Direct Connect ou VPN, ou les ressources au sein de peered VPCs peuvent accéder à l'interface réseau de votre système de fichiers. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) dans le guide de l'*utilisateur Amazon VPC*.
**Avertissement**
Vous ne devez ni modifier ni supprimer les interfaces elastic network associées à votre système de fichiers. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.
FSx pour Windows File Server prend en charge le partage VPC, qui vous permet d'afficher, de créer, de modifier et de supprimer des ressources dans un sous-réseau partagé d'un VPC appartenant à un autre compte. AWS Pour plus d'informations, consultez [Working with Shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le guide de l'*utilisateur Amazon VPC*.
## Groupes de sécurité Amazon VPC
Pour mieux contrôler le trafic réseau passant par les interfaces réseau élastiques de votre système de fichiers au sein de votre VPC, utilisez des groupes de sécurité pour limiter l'accès à vos systèmes de fichiers. Un *groupe de sécurité* est un pare-feu dynamique qui contrôle le trafic à destination et en provenance des interfaces réseau associées. Dans ce cas, la ressource associée est la ou les interfaces réseau de votre système de fichiers.
Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de FSx fichiers Amazon, ajoutez des règles d'entrée et de sortie. Les règles entrantes contrôlent le trafic entrant, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Assurez-vous que vous disposez des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de FSx fichiers de votre système de fichiers Amazon à un dossier de votre instance de calcul prise en charge.
Pour plus d'informations sur les règles des groupes de sécurité, consultez [la section Règles des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) dans le *guide de l'utilisateur Amazon EC2*.
**Pour créer un groupe de sécurité pour Amazon FSx**
1. [Ouvrez la console Amazon EC2 à l'adresse /ec2. https://console.aws.amazon.com](https://console.aws.amazon.com/ec2)
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez **Créer un groupe de sécurité**.
1. Attribuez un nom et une description au groupe de sécurité.
1. Pour le **VPC**, choisissez l'Amazon VPC associé à votre système de fichiers pour créer le groupe de sécurité au sein de ce VPC.
1. Ajoutez les règles suivantes pour autoriser le trafic réseau sortant sur les ports suivants :
1. Pour les **groupes de sécurité VPC**, le groupe de sécurité par défaut pour votre Amazon VPC par défaut est déjà ajouté à votre système de fichiers dans la console. Assurez-vous que le groupe de sécurité et le réseau VPC du ou ACLs des sous-réseaux sur lesquels vous créez votre système de FSx fichiers autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.
![\[FSx pour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de sécurité VPC et le réseau ACLs pour les sous-réseaux sur lesquels le système de fichiers est créé.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Le tableau suivant identifie le rôle de chaque port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**Important**
L'autorisation du trafic sortant sur le port TCP 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.
1. Assurez-vous que ces règles de trafic sont également reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs AD. FSx
**Important**
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.
**Note**
Si vous avez défini des sites Active Directory, vous devez vous assurer que le ou les sous-réseaux du VPC associé à votre système de fichiers FSx Amazon sont définis dans un site Active Directory et qu'aucun conflit n'existe entre le ou les sous-réseaux de votre VPC et ceux de vos autres sites. Vous pouvez afficher et modifier ces paramètres à l'aide du composant logiciel enfichable MMC Active Directory Sites and Services.
**Note**
Dans certains cas, vous avez peut-être modifié les règles de votre groupe de AWS Managed Microsoft AD sécurité par rapport aux paramètres par défaut. Dans ce cas, assurez-vous que ce groupe de sécurité dispose des règles de trafic entrant requises pour autoriser le trafic provenant de votre système de FSx fichiers Amazon. Pour plus d'informations sur les règles de trafic entrant requises, consultez la section [AWS Managed Microsoft AD Conditions préalables](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html) du Guide d'*AWS Directory Service administration*.
Maintenant que vous avez créé votre groupe de sécurité, vous pouvez l'associer aux interfaces Elastic Network de votre système de FSx fichiers Amazon.
**Pour associer un groupe de sécurité à votre système de FSx fichiers Amazon**
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Sur le tableau de bord, choisissez votre système de fichiers pour en afficher les détails.
1. Choisissez l'onglet **Réseau et sécurité**, puis choisissez les interfaces réseau de votre système de fichiers ; par exemple, **ENI-01234567890123456**. Pour les systèmes de fichiers mono-AZ, vous verrez une interface réseau unique. Pour les systèmes de fichiers multi-AZ, vous verrez une interface réseau dans le sous-réseau Preferred et une autre dans le sous-réseau Standby.
1. Pour chaque interface réseau, choisissez l'interface réseau et dans **Actions**, choisissez **Modifier les groupes de sécurité**.
1. Dans la boîte **de dialogue Modifier les groupes** de sécurité, choisissez les groupes de sécurité à utiliser, puis cliquez **sur Enregistrer**.
### Interdire l'accès à un système de fichiers
Pour interdire temporairement à tous les clients l'accès réseau à votre système de fichiers, vous pouvez supprimer tous les groupes de sécurité associés aux interfaces Elastic Network de votre système de fichiers et les remplacer par un groupe dépourvu de inbound/outbound règles.
## Réseau Amazon VPC ACLs
Une autre option pour sécuriser l'accès au système de fichiers au sein de votre VPC consiste à établir des listes de contrôle d'accès réseau (réseau ACLs). Le réseau est distinct ACLs des groupes de sécurité, mais possède des fonctionnalités similaires pour ajouter une couche de sécurité supplémentaire aux ressources de votre VPC. Pour plus d'informations sur le réseau ACLs, consultez la section [Réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) dans le guide de l'*utilisateur Amazon VPC*.
# Enregistrement de l'accès des utilisateurs finaux avec audit de l'accès aux fichiers
Amazon FSx pour Windows File Server prend en charge l'audit de l'accès des utilisateurs finaux aux fichiers, aux dossiers et aux partages de fichiers. Vous pouvez choisir d'envoyer les journaux des événements d'audit d'un système de fichiers à d'autres AWS services proposant un ensemble complet de fonctionnalités. Il s'agit notamment de permettre l'interrogation, le traitement, le stockage et l'archivage des journaux, l'émission de notifications et le déclenchement d'actions pour améliorer encore vos objectifs de sécurité et de conformité.
Pour plus d'informations sur l'utilisation de l'audit d'accès aux fichiers pour obtenir des informations sur les modèles d'accès et implémenter des notifications de sécurité pour l'activité des utilisateurs finaux, consultez les sections [Informations sur les modèles d'accès au stockage de fichiers](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) et [Implémentation de notifications de sécurité pour l'activité des utilisateurs finaux](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).
**Note**
L'audit d'accès aux fichiers n'est pris en charge que sur FSx les systèmes de fichiers Windows dont la capacité de débit est supérieure MBps ou égale à 32. Vous pouvez modifier la capacité de débit des systèmes de fichiers existants. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de débit](managing-throughput-capacity.md).
L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers, dossiers et partages de fichiers individuels en fonction des contrôles d'audit que vous avez définis. Les contrôles d'audit sont également appelés listes de contrôle d'accès au système NTFS (SACLs). Si vous avez déjà configuré des contrôles d'audit sur vos données de fichiers existantes, vous pouvez tirer parti de l'audit d'accès aux fichiers en créant un nouveau système de fichiers Amazon FSx pour Windows File Server et en migrant vos données.
Amazon FSx prend en charge les événements d'audit Windows suivants pour les accès aux fichiers, aux dossiers et aux partages de fichiers :
+ Pour les accès aux fichiers, il prend en charge : Tout, Traverser le dossier/Exécuter le fichier, Lister le dossier/Lire les données, Lire les attributs, créer des fichiers/Écrire des données, créer des dossiers/Ajouter des données, Écrire des attributs, supprimer des sous-dossiers et des fichiers, supprimer, lire les autorisations, modifier les autorisations et prendre possession.
+ Pour les accès au partage de fichiers, il prend en charge : Se connecter à un partage de fichiers.
Pour les accès aux fichiers, aux dossiers et aux partages de fichiers, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier ou à un partage de fichiers), des tentatives infructueuses, ou les deux.
Vous pouvez configurer si vous souhaitez un audit d'accès uniquement sur les fichiers et les dossiers, uniquement sur les partages de fichiers, ou les deux. Vous pouvez également configurer les types d'accès qui doivent être enregistrés (tentatives réussies uniquement, tentatives infructueuses uniquement, ou les deux). Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.
**Note**
L'audit d'accès aux fichiers enregistre les données d'accès des utilisateurs finaux uniquement à partir du moment où il est activé. En d'autres termes, l'audit de l'accès aux fichiers ne génère pas de journaux des événements d'audit des activités d'accès aux fichiers, aux dossiers et aux partages de fichiers de l'utilisateur final survenues avant l'activation de l'audit d'accès aux fichiers.
Le taux maximum d'événements d'audit d'accès pris en charge est de 5 000 événements par seconde. Les événements d'audit d'accès ne sont pas générés pour chaque opération de lecture et d'écriture de fichier, mais une fois par opération de métadonnées de fichier, par exemple lorsqu'un utilisateur crée, ouvre ou supprime un fichier.
**Topics**
+ [Auditer les destinations des journaux d'événements](#faa-log-destinations)
+ [Migration de vos contrôles d'audit](#migrate-faa)
+ [Affichage des journaux d'événements](#view-faa-logs)
+ [Configuration des contrôles d'audit des fichiers et des dossiers](faa-audit-controls.md)
+ [Gestion de l'audit des accès aux fichiers](manage-faa.md)
## Auditer les destinations des journaux d'événements
Lorsque vous activez l'audit d'accès aux fichiers, vous devez configurer un AWS service auquel Amazon FSx envoie les journaux des événements d'audit. Vous pouvez envoyer des journaux d'événements d'audit à un flux de CloudWatch journaux Amazon Logs d'un groupe de CloudWatch journaux Logs ou à un flux de diffusion Amazon Data Firehose. Vous choisissez la destination des journaux d'événements d'audit soit lorsque vous créez votre système de fichiers Amazon FSx pour Windows File Server, soit à tout moment par la suite en mettant à jour un système de fichiers existant. Pour de plus amples informations, veuillez consulter [Gestion de l'audit des accès aux fichiers](manage-faa.md).
Voici quelques recommandations qui peuvent vous aider à choisir la destination des journaux des événements d'audit :
+ Choisissez CloudWatch Logs si vous souhaitez stocker, consulter et rechercher des journaux d'événements d'audit dans la CloudWatch console Amazon, exécuter des requêtes sur les journaux à l'aide CloudWatch de Logs Insights et déclencher des CloudWatch alarmes ou des fonctions Lambda.
+ Choisissez Amazon Data Firehose si vous souhaitez diffuser en continu des événements vers le stockage dans Amazon S3, vers une base de données dans Amazon Redshift, vers OpenSearch Amazon Service ou vers des solutions partenaires telles que Splunk ou Datadog AWS pour une analyse plus approfondie.
Par défaut, Amazon FSx crée et utilise un groupe de CloudWatch journaux Logs par défaut dans votre compte comme destination du journal des événements d'audit. Si vous souhaitez utiliser un groupe de journaux de CloudWatch journaux personnalisé ou utiliser Firehose comme destination du journal des événements d'audit, voici les exigences relatives aux noms et aux emplacements de la destination du journal des événements d'audit :
+ Le nom du groupe de CloudWatch journaux Logs doit commencer par le `/aws/fsx/` préfixe. Si vous ne disposez pas d'un groupe de CloudWatch journaux Logs existant lorsque vous créez ou mettez à jour un système de fichiers sur la console, Amazon FSx peut créer et utiliser un flux de journaux par défaut dans le groupe de CloudWatch `/aws/fsx/windows` journaux Logs. Si vous ne souhaitez pas utiliser le groupe de journaux par défaut, l'interface utilisateur de configuration vous permet de créer un groupe de CloudWatch journaux de journaux lorsque vous créez ou mettez à jour votre système de fichiers sur la console.
+ Le nom du flux de diffusion Firehose doit commencer par le `aws-fsx-` préfixe. Si vous ne disposez pas d'un flux de diffusion Firehose existant, vous pouvez en créer un lorsque vous créez ou mettez à jour votre système de fichiers sur la console.
+ Le flux de diffusion Firehose doit être configuré pour être utilisé `Direct PUT` comme source. Vous ne pouvez pas utiliser un flux de données Kinesis existant comme source de données pour votre flux de diffusion.
+ La destination (groupe de CloudWatch journaux Logs ou flux de diffusion Firehose) doit se trouver sur la même AWS partition et sur celle de votre Compte AWS système de FSx fichiers Amazon. Région AWS
Vous pouvez modifier la destination du journal des événements d'audit à tout moment (par exemple, de CloudWatch Logs à Firehose). Dans ce cas, les nouveaux journaux des événements d'audit sont envoyés uniquement à la nouvelle destination.
### Meilleur effort de livraison du journal des événements d'audit
Généralement, les enregistrements du journal des événements d'audit sont livrés à destination en quelques minutes, mais cela peut parfois prendre plus de temps. Dans de très rares cas, les enregistrements du journal des événements d'audit peuvent être manqués. Si votre cas d'utilisation nécessite une sémantique particulière (par exemple, pour s'assurer qu'aucun événement d'audit n'est manqué), nous vous recommandons de prendre en compte les événements manqués lors de la conception de vos flux de travail. Vous pouvez vérifier les événements manqués en analysant la structure des fichiers et des dossiers de votre système de fichiers.
## Migration de vos contrôles d'audit
Si des contrôles d'audit (SACLs) sont déjà configurés sur vos données de fichiers existantes, vous pouvez créer un système de FSx fichiers Amazon et migrer vos données vers votre nouveau système de fichiers. Nous vous recommandons AWS DataSync de l'utiliser pour transférer les données et les données associées SACLs à votre système de FSx fichiers Amazon. Comme solution alternative, vous pouvez utiliser Robocopy (Robust File Copy). Pour de plus amples informations, veuillez consulter [Migration du stockage de fichiers existant vers Amazon FSx](migrate-to-fsx.md).
## Affichage des journaux d'événements
Vous pouvez consulter les journaux des événements d'audit une fois FSx qu'Amazon a commencé à les publier. L'emplacement et le mode d'affichage des journaux dépendent de la destination du journal des événements d'audit :
+ Vous pouvez consulter CloudWatch les journaux en accédant à la CloudWatch console et en choisissant le groupe de journaux et le flux de journaux auxquels vos journaux d'événements d'audit sont envoyés. Pour plus d'informations, consultez [Afficher les données de journal envoyées à CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.
Vous pouvez utiliser CloudWatch Logs Insights pour rechercher et analyser les données de vos journaux de manière interactive. Pour plus d'informations, consultez [Analyser les données des CloudWatch journaux avec Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.
Vous pouvez également exporter les journaux des événements d'audit vers Amazon S3. Pour plus d'informations, consultez [Exportation de données de journal vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html), également dans le *guide de l'utilisateur d'Amazon CloudWatch Logs*.
+ Vous ne pouvez pas consulter les journaux des événements d'audit sur Firehose. Cependant, vous pouvez configurer Firehose pour transférer les journaux vers une destination à partir de laquelle vous pouvez les lire. Les destinations incluent Amazon S3, Amazon Redshift, Amazon OpenSearch Service et des solutions partenaires telles que Splunk et Datadog. Pour plus d'informations, consultez Choisir une [destination dans](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) le guide du développeur Amazon *Data* Firehose.
### Champs d'événements d'audit
Cette section décrit les informations contenues dans les journaux des événements d'audit et fournit des exemples d'événements d'audit.
Vous trouverez ci-dessous une description des principaux champs d'un événement d'audit Windows.
+ **EventID** fait référence à l'ID d'événement du journal des événements Windows défini par Microsoft. Consultez la documentation Microsoft pour obtenir des informations sur les [événements du système de fichiers et les événements](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) [de partage](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share) de fichiers.
+ **SubjectUserName**fait référence à l'utilisateur effectuant l'accès.
+ **ObjectName**fait référence au fichier, au dossier ou au partage de fichiers cible auquel vous avez accédé.
+ **ShareName**est disponible pour les événements générés pour l'accès au partage de fichiers. Par exemple, `EventID 5140` est généré lors de l'accès à un objet de partage réseau.
+ **IpAddress**fait référence au client qui a initié l'événement pour les événements de partage de fichiers.
+ Les **mots clés**, lorsqu'ils sont disponibles, indiquent si l'accès au fichier a été un succès ou un échec. Pour les accès réussis, la valeur est`0x8020000000000000`. Pour les accès échoués, la valeur est`0x8010000000000000`.
+ **TimeCreated SystemTime**fait référence à l'heure à laquelle l'événement a été généré dans le système et affiché au format Z. DDThh
+ L'**ordinateur** fait référence au nom DNS du système de fichiers Windows Remote PowerShell Endpoint et peut être utilisé pour identifier le système de fichiers.
+ **AccessMask**, lorsqu'il est disponible, fait référence au type d'accès au fichier effectué (par exemple ReadData, WriteData).
+ **AccessList**fait référence à l'accès demandé ou accordé à un objet. Pour plus de détails, consultez le tableau ci-dessous et la documentation Microsoft (comme dans [Event 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).
| Type d’accès | Masque d'accès | Value |
| --- | --- | --- |
| Lire le répertoire de données ou de listes | 0x1 | %4416 |
| Écrire des données ou ajouter un fichier | 0x2 | %417 |
| Ajouter des données ou ajouter un sous-répertoire | 0x4 | %418 |
| Lire les attributs étendus | 0 x 8 | %4419 |
| Écrire des attributs étendus | 0 x 10 | %4420 |
| Exécuter/Traverser | 0 x 20 | %4421 |
| Supprimer l'enfant | 0 x 40 | %442 |
| Lire les attributs | 0x80 | %4423 |
| Écrire des attributs | 0 x 100 | %424 |
| Suppression | 0 x 10000 | %1537 |
| Lire ACL | 0 x 20000 | %1538 |
| Écrire ACL | 0x40000 | %1539 |
| Écrivez le propriétaire | 0 x 80000 | % 1540 |
| Synchroniser | 0 x 100000 | %1541 |
| ACL de sécurité d'accès | 0x1000000 | %1542 |
Voici quelques événements clés accompagnés d'exemples. Notez que le XML est formaté dans un souci de lisibilité.
**L'ID d'événement 4660** est enregistré lorsqu'un objet est supprimé.
```
466000
128000
0x8020000000000000
315452
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x50932f71Security
0x12e00x4
{00000000-0000-0000-0000-000000000000}
```
**L'ID d'événement 4659** est enregistré lors d'une demande de suppression de fichier.
```
465900128000
0x8020000000000000
308888
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\shar\event.txt
0x0{00000000-0000-0000-0000-000000000000}
%%1537
%%4423
0x10080-
0x4
```
**L'ID d'événement 4663** est enregistré lorsqu'une opération spécifique a été effectuée sur l'objet. L'exemple suivant montre la lecture de données à partir d'un fichier, qui peuvent être interprétées à partir de celui-ci`AccessList %%4416`.
```
4663< /EventID>10128000
0x8020000000000000
308831
Securityamznfsxgyzohmw8.example.com
< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0x101c%%4416
0x10x4
S:AI
```
L'exemple suivant montre les write/append données d'un fichier, qui peuvent être interprétées à partir de celui-ci`AccessList %%4417`.
```
466310128000
0x8020000000000000
308838
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0xa38%%4417
0x20x4
S:AI
```
**L'ID d'événement 4656** indique qu'un accès spécifique a été demandé pour un objet. Dans l'exemple suivant, la demande Read a été lancée pour ObjectName « permtest » et a échoué, comme le montre la valeur Keywords de. `0x8010000000000000`
```
465610128000
0x8010000000000000
308919
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0x0{00000000-0000-0000-0000-000000000000}
%%1541
%%4416
%%4423
%%1541: %%1805
%%4416: %%1805
%%4423: %%1811 D:(A;OICI;0x1301bf;;;AU)
0x100081-
00x4
-
```
**L'ID d'événement 4670** est enregistré lorsque les autorisations d'un objet sont modifiées. L'exemple suivant montre que l'utilisateur « admin » a modifié l'autorisation sur « permtest » pour ajouter des autorisations au SID ObjectName « S-1-5-21-658495921-4185342820-3824891517-1113 ». Reportez-vous à la documentation Microsoft pour plus d'informations sur l'interprétation des autorisations.
```
467000
1357000x8020000000000000
308992
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0xcc8
D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)
D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)0x4
```
**L'ID d'événement 5140** est enregistré à chaque accès à un partage de fichiers.
```
514010128080
0x8020000000000000
308947
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-2620
EC2AMAZ-1GP4HMN$example
0x2d4ca529File172.45.6.789
49730\\AMZNFSXCYDKLDZZ\share
\??\D:\share0x1%%4416
```
**L'ID d'événement 5145** est enregistré lorsque l'accès est refusé au niveau du partage de fichiers. L'exemple suivant montre que l'accès à ShareName « demoshare01 » a été refusé.
```
514500
1281100x8010000000000000
282939
Security
amznfsxtmn9autz.example.com
S-1-5-21-658495921-4185342820-3824891517-
1113Adminexample
0x95b3fb7File
172.31.7.11259979
\\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01
Desktop.ini0x120089
%%1538 %%1541 %%4416 %%4419 %%4423 %%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805
```
Si vous utilisez CloudWatch Logs Insights pour rechercher les données de vos journaux, vous pouvez exécuter des requêtes sur les champs d'événements, comme le montrent les exemples suivants :
+ Pour demander un ID d'événement spécifique, procédez comme suit :
```
fields @message
| filter @message like /4660/
```
+ Pour interroger tous les événements correspondant à un nom de fichier donné, procédez comme suit :
```
fields @message
| filter @message like /event.txt/
```
Pour plus d'informations sur le langage de requête CloudWatch Logs Insights, consultez [Analyzing Log Data with CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), dans le *guide de l'utilisateur Amazon CloudWatch Logs*.
# Configuration des contrôles d'audit des fichiers et des dossiers
Vous devez définir des contrôles d'audit sur les fichiers et dossiers que vous souhaitez auditer pour les tentatives d'accès des utilisateurs. Les contrôles d'audit sont également appelés listes de contrôle d'accès au système NTFS (SACLs).
Vous configurez les contrôles d'audit à l'aide de l'interface graphique native de Windows ou par programmation à l'aide de commandes Windows. PowerShell Si l'héritage est activé, vous devez généralement définir des contrôles d'audit uniquement sur les dossiers de niveau supérieur auxquels vous souhaitez enregistrer les accès.
## Utilisation de l'interface graphique Windows pour définir l'accès à l'audit
Pour utiliser une interface graphique afin de définir des contrôles d'audit sur vos fichiers et dossiers, utilisez l'Explorateur de fichiers Windows. Sur un fichier ou un dossier donné, ouvrez l'Explorateur de fichiers Windows et sélectionnez l'onglet **Propriétés > Sécurité > Avancé > Audit**.
L'exemple de contrôle d'audit suivant permet d'auditer les événements réussis pour un dossier. Une entrée du journal des événements Windows est émise chaque fois que ce handle est ouvert pour être lu avec succès par l'utilisateur administrateur.
![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)
Le champ **Type** indique les actions que vous souhaitez auditer. Définissez ce champ sur **Réussite** pour auditer les tentatives réussies, **Échec** pour auditer les tentatives infructueuses ou **Tout** pour auditer à la fois les tentatives réussies et les tentatives infructueuses.
Pour plus d'informations sur les champs de saisie d'audit, voir [Appliquer une politique d'audit de base sur un fichier ou un dossier](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) dans la documentation Microsoft.
## Utilisation de PowerShell commandes pour définir l'accès à l'audit
Vous pouvez utiliser la `Set-Acl` commande Microsoft Windows pour définir la SACL d'audit sur n'importe quel fichier ou dossier. Pour plus d'informations sur cette commande, consultez la documentation Microsoft [Set-Acl.](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1)
Voici un exemple d'utilisation d'une série de PowerShell commandes et de variables pour définir l'accès à l'audit en cas de tentatives réussies. Vous pouvez adapter ces exemples de commandes aux besoins de votre système de fichiers.
```
$path = "C:\Users\TestUser\Desktop\DemoTest\"
$ACL = Get-Acl $path
$ACL | Format-List
$AuditUser = "TESTDOMAIN\TestUser"
$AuditRules = "FullControl"
$InheritType = "ContainerInherit,ObjectInherit"
$AuditType = "Success"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $path
Get-Acl $path -Audit | Format-List
```
# Gestion de l'audit des accès aux fichiers
Vous pouvez activer l'audit d'accès aux fichiers lors de la création d'un nouveau système de fichiers Amazon FSx pour Windows File Server. L'audit d'accès aux fichiers est désactivé par défaut lorsque vous créez un système de fichiers depuis la FSx console Amazon.
Sur les systèmes de fichiers existants sur lesquels l'audit d'accès aux fichiers est activé, vous pouvez modifier les paramètres d'audit d'accès aux fichiers, notamment les types de tentatives d'accès pour les accès aux fichiers et aux partages de fichiers, ainsi que la destination du journal des événements d'audit. Vous pouvez effectuer ces tâches à l'aide de la FSx console Amazon ou de l'API. AWS CLI
**Note**
L'audit d'accès aux fichiers n'est pris en charge que sur les systèmes de fichiers Amazon FSx pour Windows File Server dotés d'une capacité de débit de 32 MBps ou plus. Vous ne pouvez pas créer ou mettre à jour un système de fichiers avec une capacité de débit inférieure à 32 MBps si l'audit d'accès aux fichiers est activé. Vous pouvez modifier la capacité de débit à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de débit](managing-throughput-capacity.md).
## Pour activer l'audit de l'accès aux fichiers lors de la création d'un système de fichiers (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Suivez la procédure de création d'un nouveau système de fichiers décrite [Étape 5. Créez votre système de fichiers](getting-started.md#getting-started-step1) dans la section Mise en route.
1. Ouvrez la section **Audit - facultatif**. L'audit d'accès aux fichiers est désactivé par défaut.
![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-create-wizard.png)
1. Pour activer et configurer l'audit d'accès aux fichiers, procédez comme suit.
+ Pour **l'accès au journal des fichiers et des dossiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les fichiers et les dossiers si vous n'effectuez aucune sélection.
+ Pour l'**accès au journal des partages de fichiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les partages de fichiers si vous n'effectuez aucune sélection.
+ Pour **Choisir une destination du journal des événements d'audit**, choisissez **CloudWatch Logs** ou **Firehose**. Choisissez ensuite un journal ou un flux de diffusion existant ou créez-en un nouveau. Pour les CloudWatch journaux, Amazon FSx peut créer et utiliser un flux de journal par défaut dans le groupe de CloudWatch `/aws/fsx/windows` journaux Logs.
Vous trouverez ci-dessous un exemple de configuration d'audit d'accès aux fichiers qui vérifiera les tentatives d'accès réussies et infructueuses des utilisateurs finaux aux fichiers, aux dossiers et aux partages de fichiers. Les journaux des événements d'audit seront envoyés à la destination par défaut du groupe de CloudWatch `/aws/fsx/windows` journaux Logs.
![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-create-advanced.png)
1. Passez à la section suivante de l'assistant de création de système de fichiers.
Lorsque le système de fichiers est **disponible**, la fonctionnalité d'audit d'accès aux fichiers est activée.
## Pour activer l'audit de l'accès aux fichiers lors de la création d'un système de fichiers (CLI)
1. Lorsque vous créez un nouveau système de fichiers, utilisez la `AuditLogConfiguration` propriété avec l'opération d'[CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API pour activer l'audit de l'accès aux fichiers pour le nouveau système de fichiers.
```
aws fsx create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--subnet-ids subnet-123456 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
1. Lorsque le système de fichiers est **disponible**, la fonctionnalité d'audit d'accès aux fichiers est activée.
## Pour modifier la configuration de l'audit d'accès aux fichiers (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Accédez à **Systèmes de fichiers**, puis choisissez le système de fichiers Windows pour lequel vous souhaitez gérer l'audit d'accès aux fichiers.
1. Choisissez l'onglet **Administration**.
1. Dans le panneau **d'audit de l'accès aux fichiers**, choisissez **Gérer**.
![\[FSx console Panneau d'audit d'accès aux fichiers, qui montre la configuration de l'audit d'accès aux fichiers.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-admin-panel.png)
1. Dans la boîte de dialogue **Gérer les paramètres d'audit d'accès aux fichiers**, modifiez les paramètres souhaités.
![\[FSx console Panneau d'audit d'accès aux fichiers, utilisez ce panneau pour modifier les configurations d'audit d'accès aux fichiers.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-update-config.png)
+ Pour **l'accès au journal des fichiers et des dossiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les fichiers et les dossiers si vous n'effectuez aucune sélection.
+ Pour l'**accès au journal des partages de fichiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les partages de fichiers si vous n'effectuez aucune sélection.
+ Pour **Choisir une destination du journal des événements d'audit**, choisissez **CloudWatch Logs** ou **Firehose**. Choisissez ensuite un journal ou un flux de diffusion existant ou créez-en un nouveau.
1. Choisissez **Enregistrer**.
## Pour modifier la configuration de l'audit d'accès aux fichiers (CLI)
+ Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html)CLI ou l'opération [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)API équivalente.
```
aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
FileShareAccessAuditLogLevel="FAILURE_ONLY", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
# Gestion des identités et des accès pour Amazon FSx pour Windows File Server
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser FSx pour les ressources du serveur de fichiers Windows. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment fonctionne le serveur de fichiers Amazon FSx pour Windows avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour Amazon FSx pour Windows File Server](security-iam-awsmanpol.md)
+ [Résolution des problèmes FSx d'identité et d'accès au serveur de fichiers Amazon pour Windows](security_iam_troubleshoot.md)
+ [Utiliser des tags avec Amazon FSx](using-tags-fsx.md)
+ [Utilisation de rôles liés à un service FSx pour Windows File Server](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes FSx d'identité et d'accès au serveur de fichiers Amazon pour Windows](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment fonctionne le serveur de fichiers Amazon FSx pour Windows avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment fonctionne le serveur de fichiers Amazon FSx pour Windows avec IAM
Avant d'utiliser IAM FSx pour gérer l'accès à Windows File Server, découvrez quelles fonctionnalités IAM sont disponibles FSx pour Windows File Server.
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon FSx pour Windows File Server**
| Fonctionnalité IAM | FSx soutien |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transfert des sessions d’accès](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont FSx les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour FSx
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour FSx
Pour consulter des exemples de FSx politiques basées sur l'identité du serveur de fichiers Windows, consultez. [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein de FSx
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions politiques pour FSx
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des FSx actions, consultez la section [Actions définies par Amazon FSx pour Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) dans le *Service Authorization Reference*.
Les actions de politique en FSx cours utilisent le préfixe suivant avant l'action :
```
fsx
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Pour consulter des exemples de FSx politiques basées sur l'identité du serveur de fichiers Windows, consultez. [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md)
## Ressources politiques pour FSx
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de FSx ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon FSx pour Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon FSx pour Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Pour consulter des exemples de FSx politiques basées sur l'identité du serveur de fichiers Windows, consultez. [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md)
## Clés de conditions de politique pour FSx
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de FSx condition, consultez la section [Clés de condition pour Amazon FSx pour Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon FSx pour Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Pour consulter des exemples de FSx politiques basées sur l'identité du serveur de fichiers Windows, consultez. [Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server](security_iam_id-based-policy-examples.md)
## ACLs in FSx
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec FSx
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d'informations d'identification temporaires avec FSx
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Transférer les sessions d'accès pour FSx
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour FSx
**Prend en charge les rôles de service :** Non
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber FSx les fonctionnalités. Modifiez les rôles de service uniquement lorsque FSx vous recevez des instructions à cet effet.
## Rôles liés à un service pour FSx
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus de détails sur la création ou la gestion FSx des rôles liés au service Windows File Server, consultez. [Utilisation de rôles liés à un service FSx pour Windows File Server](using-service-linked-roles.md)
# Exemples de politiques basées sur l'identité FSx pour Amazon pour Windows File Server
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier FSx les ressources du serveur de fichiers Windows. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par FSx, y compris le format de ARNs pour chacun des types de ressources, consultez la section [Actions, ressources et clés de condition pour le serveur de fichiers Amazon FSx pour Windows](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la FSx console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources FSx pour le serveur de fichiers Windows dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la FSx console
Pour accéder à la console du serveur de fichiers Amazon FSx pour Windows, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher des informations détaillées sur FSx les ressources du serveur de fichiers Windows de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la FSx console, associez également la politique FSx `AmazonFSxConsoleReadOnlyAccess` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiques gérées pour Amazon FSx pour Windows File Server
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## Amazon FSx ServiceRolePolicy
Permet FSx à Amazon de gérer les AWS ressources en votre nom. Pour en savoir plus, consultez [Utilisation de rôles liés à un service FSx pour Windows File Server](using-service-linked-roles.md).
## AWS politique gérée : Amazon FSx DeleteServiceLinkedRoleAccess
Vous ne pouvez pas joindre de `AmazonFSxDeleteServiceLinkedRoleAccess` à vos entités IAM. Cette politique est liée à un service et utilisée uniquement avec le rôle lié au service pour ce service. Vous ne pouvez pas joindre, détacher, modifier ou supprimer cette politique. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service FSx pour Windows File Server](using-service-linked-roles.md).
Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour l'accès à Amazon S3, utilisé uniquement par Amazon FSx pour Lustre.
**Détails de l’autorisation**
Cette politique inclut des autorisations permettant `iam` FSx à Amazon de consulter, de supprimer et de consulter le statut de suppression des rôles liés au FSx service pour l'accès à Amazon S3.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx FullAccess
Vous pouvez associer Amazon FSx FullAccess à vos entités IAM. Amazon associe FSx également cette politique à un rôle de service qui permet FSx à Amazon d'effectuer des actions en votre nom.
Fournit un accès complet à Amazon FSx et aux AWS services associés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux un accès complet pour effectuer toutes les FSx actions Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `ds`— Permet aux directeurs d'accéder aux informations relatives aux Directory Service annuaires.
+ `ec2`
+ Permet aux principaux de créer des balises dans les conditions spécifiées.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ `iam`— Permet aux principes de créer un rôle lié à un FSx service Amazon au nom de l'utilisateur. Cela est nécessaire pour qu'Amazon FSx puisse gérer les AWS ressources au nom de l'utilisateur.
+ `firehose`— Permet aux directeurs d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant des journaux d'accès d'audit à Firehose.
+ `logs`— Permet aux principaux de créer des groupes de journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant les journaux d'accès aux audits à CloudWatch Logs.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleFullAccess
Vous pouvez associer la politique `AmazonFSxConsoleFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet à Amazon FSx et l'accès aux AWS services associés via le AWS Management Console.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux d'effectuer toutes les actions dans la console de FSx gestion Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans la console FSx de gestion Amazon.
+ `ds`— Permet aux principaux de répertorier les informations relatives à un Directory Service répertoire.
+ `ec2`
+ Permet aux principaux de créer des balises sur les tables de routage, de répertorier les interfaces réseau, les tables de routage, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de fichiers Amazon. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de répertorier les alias des AWS Key Management Service clés.
+ `s3`— Permet aux principaux de répertorier certains ou tous les objets d'un compartiment Amazon S3 (jusqu'à 1 000).
+ `secretsmanager`— Permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte de service de connexion à un domaine.
+ `iam`— Accorde l'autorisation de créer un rôle lié à un service qui permet FSx à Amazon d'effectuer des actions au nom de l'utilisateur.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxConsoleReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule à Amazon FSx et aux AWS services associés afin que les utilisateurs puissent consulter les informations relatives à ces services dans le. AWS Management Console
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans l'Amazon FSx Management Console.
+ `ds`— Permet aux principaux de consulter les informations relatives à un Directory Service annuaire dans Amazon FSx Management Console.
+ `ec2`
+ Permet aux principaux de visualiser les interfaces réseau, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de FSx fichiers Amazon dans Amazon Management Console. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de consulter les alias des AWS Key Management Service clés dans l'Amazon FSx Management Console.
+ `log`— Permet aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
+ `secretsmanager`— Permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte de service de connexion à un domaine.
+ `firehose`— Permet aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxReadOnlyAccess` à vos identités IAM.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `ec2`— Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## Amazon FSx met à jour AWS ses politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon FSx depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la FSx [Historique du document](doc-history.md) page Amazon.
| Modifier | Description | Date |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `secretsmanager:ListSecrets` qui permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte du service de connexion à un domaine. | 5 novembre 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `secretsmanager:ListSecrets` qui permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte du service de connexion à un domaine. | 3 novembre 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:AssignIpv6Addresses` qui permet aux principaux d'attribuer des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:UnassignIpv6Addresses` qui permet aux principaux d'annuler l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 25 février 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 07 février 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau FSx pour les systèmes de fichiers OpenZFS Multi-AZ. | 9 août 2023 |
| [AWS politique gérée : Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon a FSx modifié l'`cloudwatch:PutMetricData`autorisation existante afin qu'Amazon FSx publie CloudWatch les métriques dans l'espace de `AWS/FSx` noms. | 24 juillet 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique afin de supprimer l'`fsx:*`autorisation et d'ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique afin de supprimer l'`fsx:*`autorisation et d'ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Politique de suivi mise en place | Cette politique accorde un accès en lecture seule à toutes les FSx ressources Amazon et à tous les tags qui leur sont associés. | 4 février 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Politique de suivi mise en place | Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour accéder à Amazon S3. | 7 janvier 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau pour les systèmes de fichiers Amazon FSx for NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des systèmes de fichiers multi-AZ Amazon FSx pour NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de CloudWatch journaux Logs. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide CloudWatch des journaux. | 8 juin 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de diffusion Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et de créer des journaux, des groupes de CloudWatch journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire pour que les principaux puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide des CloudWatch journaux. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un groupe de CloudWatch journaux Logs existant lors de la configuration de l'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un flux de diffusion Firehose existant lors de la configuration de l'audit d'accès aux fichiers pour FSx un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| Amazon FSx a commencé à suivre les modifications | Amazon FSx a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 8 juin 2021 |
# Résolution des problèmes FSx d'identité et d'accès au serveur de fichiers Amazon pour Windows
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation FSx de Windows File Server et d'IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans FSx](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes FSx ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans FSx
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `fsx:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `fsx:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour FSx pour vous permettre de transmettre un rôle au serveur de fichiers Windows.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console FSx pour effectuer une action dans Windows File Server. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes FSx ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si FSx le serveur de fichiers Windows prend en charge ces fonctionnalités, consultez[Comment fonctionne le serveur de fichiers Amazon FSx pour Windows avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utiliser des tags avec Amazon FSx
Vous pouvez utiliser des balises pour contrôler l'accès aux FSx ressources Amazon et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Les utilisateurs doivent être autorisés à appliquer des balises aux FSx ressources Amazon lors de leur création.
## Accorder l’autorisation de baliser les ressources lors de la création
Certaines actions d'API de création de ressources FSx pour Windows File Server vous permettent de spécifier des balises lors de la création de la ressource. Vous pouvez utiliser des balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, reportez-vous à la section À [quoi sert ABAC AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
Pour permettre aux utilisateurs d’attribuer des balises aux ressources au moment de la création, ils doivent avoir les autorisations d’utiliser l’action qui crée la ressource (par exemple, `fsx:CreateFileSystem` ou `fsx:CreateBackup`). Si les balises sont spécifiées dans l’action de création de ressources, Amazon effectue une autorisation supplémentaire sur l’action `fsx:TagResource` pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `fsx:TagResource`.
L'exemple suivant illustre une politique qui permet aux utilisateurs de créer des systèmes de fichiers et d'appliquer des balises aux systèmes de fichiers lors de leur création dans un système spécifique Compte AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et d'appliquer des balises à la sauvegarde lors de la création de la sauvegarde.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
L’action `fsx:TagResource` est uniquement évaluée si les balises sont appliquées pendant l’action de création de ressources. Par conséquent, un utilisateur qui est autorisé à créer une ressource (en supposant qu’il n’existe aucune condition de balisage) n’a pas besoin des autorisations d’utiliser l’action `fsx:TagResource` si aucune balise n’est spécifié dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action `fsx:TagResource`.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultez[Marquer vos ressources Amazon FSx](tag-resources.md). Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux FSx ressources, consultez[Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon](#restrict-fsx-access-tags).
## Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon
Pour contrôler l'accès aux FSx ressources et aux actions Amazon, vous pouvez utiliser des politiques Gestion des identités et des accès AWS (IAM) basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
1. Contrôlez l'accès aux FSx ressources Amazon en fonction des balises figurant sur ces ressources.
1. Contrôlez quelles balises peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur le balisage des FSx ressources Amazon lors de leur création, consultez[Accorder l’autorisation de baliser les ressources lors de la création](#supported-iam-actions-tagging). Pour plus d’informations sur le balisage des ressources, consultez [Marquer vos ressources Amazon FSx](tag-resources.md).
### Contrôle de l’accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une FSx ressource Amazon, vous pouvez utiliser des balises sur la ressource. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
**Example policy — Créez un système de fichiers lorsque vous fournissez une balise spécifique**
Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur spécifique, dans cet exemple,`key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example politique — Créez des sauvegardes uniquement des systèmes de FSx fichiers Amazon avec une balise spécifique**
Cette politique permet aux utilisateurs de créer des sauvegardes uniquement des systèmes de fichiers marqués avec la paire clé-valeur`key=Department, value=Finance`, et la sauvegarde sera créée avec la balise`Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example politique — Création d'un système de fichiers avec une balise spécifique à partir de sauvegardes avec une balise spécifique**
Cette politique permet aux utilisateurs de créer des systèmes de fichiers étiquetés avec `Department=Finance` uniquement à partir de sauvegardes étiquetées avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example politique — Supprime les systèmes de fichiers avec des balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Utilisation de rôles liés à un service FSx pour Windows File Server
Le serveur de fichiers Amazon FSx pour Windows utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au serveur de FSx fichiers Windows. Les rôles liés à un service sont prédéfinis par FSx for Windows File Server et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration du serveur FSx de fichiers Windows, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. FSx pour Windows File Server définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul le serveur FSx de fichiers Windows peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège les ressources FSx de votre serveur de fichiers Windows, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service FSx pour Windows File Server
FSx pour Windows File Server utilise le rôle lié à un service nommé `AWSServiceRoleForAmazonFSx` — qui exécute certaines actions dans votre compte, comme la création d'interfaces réseau élastiques pour vos systèmes de fichiers dans votre VPC.
La politique d'autorisation des rôles permet FSx au serveur de fichiers Windows d'effectuer les actions suivantes sur toutes les AWS ressources applicables :
Vous ne pouvez pas associer Amazon FSx ServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet de FSx gérer les AWS ressources en votre nom. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service FSx pour Windows File Server](#using-service-linked-roles).
Pour connaître les mises à jour de cette politique, consultez [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
Cette politique accorde des autorisations administratives qui permettent FSx de gérer les AWS ressources pour le compte de l'utilisateur.
**Détails de l’autorisation**
Les autorisations relatives aux FSx ServiceRolePolicy rôles Amazon sont définies par la politique FSx ServiceRolePolicy AWS gérée par Amazon. Amazon FSx ServiceRolePolicy dispose des autorisations suivantes :
**Note**
Amazon FSx ServiceRolePolicy est utilisé par tous les types de systèmes de FSx fichiers Amazon ; certaines des autorisations répertoriées peuvent ne pas s'appliquer FSx à Windows.
+ `ds`— Permet FSx d'afficher, d'autoriser et d'annuler les applications de votre Directory Service répertoire.
+ `ec2`— Permet FSx d'effectuer les opérations suivantes :
+ Affichez, créez et dissociez les interfaces réseau associées à un système de FSx fichiers Amazon.
+ Affichez une ou plusieurs adresses IP élastiques associées à un système de FSx fichiers Amazon.
+ Affichez Amazon VPCs, les groupes de sécurité et les sous-réseaux associés à un système de FSx fichiers Amazon.
+ Attribuez des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Annulez l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Créez une autorisation permettant à un utilisateur AWS autorisé d'effectuer certaines opérations sur une interface réseau.
+ `cloudwatch`— Permet FSx de publier des points de données métriques CloudWatch sous l'espace de FSx noms AWS/.
+ `route53`— Permet FSx d'associer un Amazon VPC à une zone hébergée privée.
+ `logs`— Permet FSx de décrire et d'écrire dans les flux de CloudWatch log Logs. Cela permet aux utilisateurs d'envoyer les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server vers un flux de CloudWatch journaux.
+ `firehose`— Permet FSx de décrire et d'écrire dans les flux de diffusion Amazon Data Firehose. Cela permet aux utilisateurs de publier les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server sur un flux de diffusion Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Toute mise à jour de cette politique est décrite dans[Amazon FSx met à jour AWS ses politiques gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service FSx pour Windows File Server
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un système de fichiers dans l' AWS Management Console interface de ligne de commande IAM ou l'API IAM, le serveur de fichiers Windows crée le rôle lié au service FSx pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un système de fichiers, le serveur FSx de fichiers Windows crée à nouveau le rôle lié à un service pour vous.
## Modification d'un rôle lié à un service FSx pour Windows File Server
FSx pour Windows File Server ne vous permet pas de modifier le rôle lié à un service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service FSx pour Windows File Server
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, vous devez supprimer tous vos systèmes de fichiers et toutes vos sauvegardes avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si le FSx service Windows File Server utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service . Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge FSx pour les rôles liés au service Windows File Server
FSx pour Windows File Server prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Régions et Points de terminaison AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Validation de conformité pour le serveur de fichiers Amazon FSx pour Windows
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Serveur de fichiers Amazon FSx pour Windows et points de terminaison VPC d'interface
Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant Amazon FSx pour qu'il utilise un point de terminaison VPC d'interface. Les points de terminaison VPC d'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder à Amazon en privé FSx APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion. Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Amazon. FSx APIs Le trafic entre votre VPC et Amazon FSx ne quitte pas le AWS réseau.
Chaque point de terminaison VPC d'interface est représenté par une ou plusieurs interfaces réseau élastiques dans vos sous-réseaux. Une interface réseau fournit une adresse IP privée qui sert de point d'entrée pour le trafic vers l' FSx API Amazon. Amazon FSx prend en charge les points de terminaison VPC configurés avec des types d' IPv4adresses IP uniquement et à double pile (IPv4 et IPv6). Pour plus d'informations, consultez la section [Création d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
## Considérations relatives aux points de terminaison FSx VPC de l'interface Amazon
Avant de configurer un point de terminaison VPC d'interface pour Amazon FSx, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface VPC dans](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) le guide de l'utilisateur Amazon *VPC*.
Vous pouvez appeler n'importe quelle opération d' FSx API Amazon depuis votre VPC. Par exemple, vous pouvez créer un système de fichiers FSx pour Windows File Server en appelant l' CreateFileSystem API depuis votre VPC. Pour obtenir la liste complète d'Amazon FSx APIs, consultez la section [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) du manuel Amazon FSx API Reference.
### Considérations relatives au peering VPC
Vous pouvez en connecter d'autres VPCs au VPC à l'aide de points de terminaison VPC d'interface à l'aide du peering VPC. Le peering VPC est une connexion réseau entre deux. VPCs Vous pouvez établir une connexion d'appairage VPC entre les vôtres ou avec un VPC dans un autre. VPCs Compte AWS Ils VPCs peuvent également être en deux versions différentes Régions AWS.
Le trafic entre pairs VPCs reste sur le AWS réseau et ne traverse pas l'Internet public. Une fois peered, VPCs les ressources telles que les instances Amazon Elastic Compute Cloud (Amazon EC2) présentes dans les deux instances VPCs peuvent accéder à l' FSx API Amazon via les points de terminaison VPC de l'interface créés dans l'un des. VPCs
## Création d'un point de terminaison VPC d'interface pour Amazon API FSx
Vous pouvez créer un point de terminaison VPC pour l' FSx API Amazon à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d'informations, consultez la section [Création d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
Pour créer un point de terminaison VPC d'interface pour Amazon FSx, utilisez l'une des méthodes suivantes :
+ `com.amazonaws.region.fsx`— Crée un point de terminaison pour les opérations FSx d'API Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crée un point de terminaison pour l' FSx API Amazon conforme à la [norme fédérale de traitement de l'information (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Pour utiliser l'option DNS privé, vous devez définir les `enableDnsSupport` attributs `enableDnsHostnames` et de votre VPC. Pour plus d'informations, consultez la section [Affichage et mise à jour du support DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dans le guide de l'utilisateur Amazon *VPC*.
Sauf Régions AWS en Chine, si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Amazon FSx avec le point de terminaison VPC en utilisant son nom DNS par défaut pour le Région AWS, par exemple. `fsx.us-east-1.amazonaws.com` Pour la Chine (Pékin) et la Chine (Ningxia) Régions AWS, vous pouvez effectuer des demandes d'API avec le point de terminaison VPC `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` en utilisant `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn` et, respectivement.
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
## Création d'une politique de point de terminaison VPC pour Amazon FSx
Pour mieux contrôler l'accès à l' FSx API Amazon, vous pouvez éventuellement associer une politique Gestion des identités et des accès AWS (IAM) à votre point de terminaison VPC. La stratégie spécifie les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être effectuées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.