Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou modifier les ressources AWS Health . Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console AWS CLI, ou AWS API. Un IAM administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du guide de l'IAMutilisateur.
Rubriques
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS Health des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles respectent le langage des politiques (JSON) et IAM les IAM meilleures pratiques. IAM Access Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Valider les politiques avec IAM Access Analyzer dans le guide de l'IAMutilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section APIAccès sécurisé avec MFA dans le guide de IAM l'utilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Utilisation de la console AWS Health
Pour accéder à la AWS Health console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives AWS Health aux ressources de votre AWS compte. Si vous créez une stratégie basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette stratégie.
Pour garantir que ces entités peuvent toujours utiliser la AWS Health console, vous pouvez joindre la politique AWS gérée suivante : AWSHealthFullAccess
La AWSHealthFullAccess
politique accorde à une entité un accès complet aux éléments suivants :
-
Activer ou désactiver la fonctionnalité AWS Health d'affichage organisationnel pour tous les comptes d'une AWS organisation
-
Le AWS Health Dashboard dans la AWS Health console
-
AWS Health APIopérations et notifications
-
Afficher les informations relatives aux comptes qui font partie de votre AWS organisation
-
Afficher les unités organisationnelles (UO) du compte de gestion
Exemple : AWSHealthFullAccess
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
Note
Vous pouvez également utiliser la politique Health_OrganizationsServiceRolePolicy
AWS
gérée afin de consulter les AWS Health événements relatifs aux autres comptes de votre organisation. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS Health.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération que vous essayez d'effectuer.
Pour plus d'informations, consultez la section Ajouter des autorisations à un utilisateur dans le guide de IAM l'utilisateur.
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une stratégie qui permet aux utilisateurs IAM d'afficher les stratégies en ligne et gérées attachées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Accès au AWS Health Dashboard et au AWS Health API
Le AWS Health Dashboard est disponible pour tous les AWS comptes. Il n' AWS Health APIest disponible que pour les comptes disposant d'un plan Business, Enterprise On-Ramp ou Enterprise Support. Pour de plus amples informations, veuillez consulter Support
Vous pouvez l'utiliser IAM pour créer des entités (utilisateurs, groupes ou rôles), puis donner à ces entités l'autorisation d'accéder au AWS Health Dashboard et au AWS Health API.
Par défaut, IAM les utilisateurs n'ont pas accès au AWS Health Dashboard ou au AWS Health API. Vous permettez aux utilisateurs d'accéder aux AWS Health informations de votre compte en associant des IAM politiques à un seul utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour plus d'informations, consultez Identités (utilisateurs, groupes et rôles) et Présentation des IAM politiques.
Après avoir créé les utilisateurs IAM, vous pouvez leur octroyer des mots de passe individuels. Ils peuvent ensuite se connecter à votre compte et consulter les AWS Health informations en utilisant une page de connexion spécifique au compte. Pour plus d'informations, consultez Comment les utilisateurs se connectent à votre compte.
Note
Un IAM utilisateur autorisé à consulter AWS Health Dashboard a un accès en lecture seule aux informations de santé de tous les AWS services du compte, qui peuvent inclure, mais sans s'y limiter, des AWS ressources IDs telles que l'EC2instance IDs Amazon, les adresses IP des EC2 instances et les notifications de sécurité générales.
Par exemple, si une IAM politique accorde l'accès uniquement à AWS Health Dashboard et à AWS Health API, alors l'utilisateur ou le rôle auquel la politique s'applique peut accéder à toutes les informations publiées sur les AWS services et les ressources associées, même si d'autres IAM politiques n'autorisent pas cet accès.
Vous pouvez utiliser deux groupes de APIs for AWS Health.
-
Comptes individuels — Vous pouvez utiliser des opérations telles que DescribeEventset DescribeEventDetailspour obtenir des informations sur les AWS Health événements de votre compte.
-
Compte d'organisation : vous pouvez utiliser des opérations telles que DescribeEventsForOrganizationet DescribeEventDetailsForOrganizationpour obtenir des informations sur les AWS Health événements relatifs aux comptes qui font partie de votre organisation.
Pour plus d'informations sur les API opérations disponibles, consultez la AWS Health APIréférence.
Actions individuelles
Vous pouvez définir l'élément Action
d'une stratégie IAM sur health:Describe*
. Cela permet d'accéder à AWS Health Dashboard la terre AWS Health. AWS Health prend en charge le contrôle d'accès aux événements basés sur le service eventTypeCode
and.
Décrire l'accès
Cette déclaration de politique donne accès AWS Health Dashboard à toutes les Describe*
AWS Health API opérations. Par exemple, un IAM utilisateur appliquant cette politique peut accéder AWS Health Dashboard à l'opération AWS Management Console et appeler l' AWS Health
DescribeEvents
APIopération.
Exemple : Décrire l'accès
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
Refuser l'accès
Cette déclaration de politique refuse l'accès à AWS Health Dashboard et au AWS Health API. Un IAM utilisateur appliquant cette politique ne peut pas voir le AWS Health Dashboard fichier dans le AWS Management Console et ne peut appeler aucune des AWS Health API opérations.
Exemple : Refuser l'accès
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
Vue organisationnelle
Si vous souhaitez activer l'affichage organisationnel pour AWS Health, vous devez autoriser l'accès aux AWS Organizations actions AWS Health et.
L'élément Action
d'une stratégie IAM doit inclure les autorisations suivantes :
-
iam:CreateServiceLinkedRole
-
organizations:EnableAWSServiceAccess
-
organizations:DescribeAccount
-
organizations:DisableAWSServiceAccess
-
organizations:ListAccounts
-
organizations:ListDelegatedAdministrators
-
organizations:ListParents
Pour connaître les autorisations exactes requises pour chacune d'entre ellesAPIs, consultez les sections Actions définies par AWS Health APIs et Notifications dans le guide de IAM l'utilisateur.
Note
Vous devez utiliser les informations d'identification du compte de gestion pour qu'une organisation puisse accéder au AWS Health APIs formulaire AWS Organizations. Pour de plus amples informations, veuillez consulter Agrégation des AWS Health événements entre les comptes.
Autoriser l'accès à la vue AWS Health organisationnelle
Cette déclaration de politique donne accès à toutes AWS Health les AWS Organizations actions dont vous avez besoin pour accéder à la fonctionnalité d'affichage organisationnel.
Exemple : Autoriser l'accès à la vue AWS Health organisationnelle
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
Refuser l'accès à la vue AWS Health organisationnelle
Cette déclaration de politique refuse l'accès aux AWS Organizations actions mais autorise l'accès aux AWS Health actions pour un compte individuel.
Exemple : Refuser l'accès à la vue AWS Health organisationnelle
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
Note
Si l'utilisateur ou le groupe auquel vous souhaitez accorder des autorisations possède déjà une IAM politique, vous pouvez ajouter la déclaration de politique AWS Health spécifique à cette politique.
Conditions basées sur des ressources et des actions
AWS Health soutient IAMles conditions des DescribeEventDetailsAPIopérations DescribeAffectedEntitieset. Vous pouvez utiliser des conditions basées sur les ressources et les actions pour limiter les événements AWS Health API envoyés à un utilisateur, un groupe ou un rôle.
Pour ce faire, mettez à jour le bloc Condition
de la stratégie IAM ou définissez l'élément Resource
. Vous pouvez utiliser les conditions de chaîne pour restreindre l'accès en fonction de certains champs AWS Health d'événements.
Vous pouvez utiliser les champs suivants lorsque vous spécifiez un AWS Health événement dans votre politique :
-
eventTypeCode
-
service
Remarques
-
Les DescribeEventDetailsAPIopérations DescribeAffectedEntitieset prennent en charge les autorisations au niveau des ressources. Par exemple, vous pouvez créer une politique pour autoriser ou refuser des AWS Health événements spécifiques.
-
Les DescribeEventDetailsForOrganizationAPIopérations DescribeAffectedEntitiesForOrganizationet ne prennent pas en charge les autorisations au niveau des ressources.
-
Pour plus d'informations, consultez la section Actions, ressources et clés de condition AWS Health APIs et notifications dans la référence d'autorisation de service.
Exemple : Condition basée sur des actions
Cette déclaration de politique accorde l'accès AWS Health Dashboard et les AWS Health
Describe*
API opérations, mais refuse l'accès à tout AWS Health événement lié à AmazonEC2.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
Exemple : Condition basée sur les ressources
La stratégie suivante a le même effet, mais utilise l'élément Resource
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
Exemple : eventTypeCode état
Cette déclaration de politique accorde l'accès aux AWS Health
Describe*
API opérations AWS Health Dashboard et interdit l'accès à tout AWS Health événement eventTypeCode
correspondantAWS_EC2_*
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
Important
Si vous appelez les DescribeEventDetailsopérations DescribeAffectedEntitieset que vous n'êtes pas autorisé à accéder à l' AWS Health événement, l'AccessDeniedException
erreur apparaît. Pour de plus amples informations, veuillez consulter Résolution des problèmes AWS Health d'identité et d'accès.