Ressources et opérations Présentation de la propriété des ressources Gestion de l'accès aux ressources Spécification des éléments d'une politique : actions, effets et principaux Spécification de conditions dans une politique

Après mûre réflexion, nous avons décidé de mettre fin à Amazon Kinesis Data Analytics SQL pour les applications en deux étapes :

1. À compter du 15 octobre 2025, vous ne pourrez plus créer de nouveaux Kinesis Data Analytics SQL pour les applications.

2. Nous supprimerons vos candidatures à compter du 27 janvier 2026. Vous ne serez pas en mesure de démarrer ou d'utiliser votre Amazon Kinesis Data Analytics SQL pour les applications. Support ne sera plus disponible pour Amazon Kinesis Data Analytics à partir SQL de cette date. Pour de plus amples informations, veuillez consulter Arrêt d'Amazon Kinesis Data Analytics SQL pour applications.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources

Avertissement

Pour les nouveaux projets, nous vous recommandons d'utiliser le nouveau service géré pour Apache Flink Studio plutôt que pour les SQL applications. Le service géré pour Apache Flink Studio allie facilité d’utilisation et capacités analytiques avancées, ce qui vous permet de créer des applications sophistiquées de traitement des flux en quelques minutes.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés IAM via un fournisseur d'identité :

Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
IAMutilisateurs :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Rubriques

Ressources et opérations
Présentation de la propriété des ressources
Gestion de l'accès aux ressources
Spécification des éléments d'une politique : actions, effets et principaux
Spécification de conditions dans une politique

Ressources et opérations

La ressource principale est une application. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique.

Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.


Type de ressource	ARNFormat
Application	`arn:aws:kinesisanalytics:region:account-id:application/application-name`

fournit un ensemble d’opérations pour utiliser les ressources. Pour obtenir la liste des opérations disponibles, consultez Actions.

Présentation de la propriété des ressources

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire le compte root, un utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une application, vous Compte AWS êtes le propriétaire de la ressource. (Dans , la ressource est une application.)
Si vous créez un utilisateur dans votre compte Compte AWS et que vous lui accordez l'autorisation de créer une application, celui-ci peut créer une application. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de l'application. Nous vous recommandons vivement d’accorder des autorisations aux rôles et non aux utilisateurs.
Si vous créez un IAM rôle Compte AWS avec les autorisations nécessaires pour créer une application, toute personne habilitée à assumer ce rôle peut créer une application. Vous Compte AWS, à laquelle appartient l'utilisateur, êtes propriétaire de la ressource de l'application.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section traite de l'utilisation IAM dans le contexte de. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la section Référence des IAM JSON politiques dans le Guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. ne prend en charge que les politiques basées sur l'identité (politiques). IAM

Rubriques

Politiques basées sur l'identité (politiques) IAM
Politiques basées sur une ressource

Politiques basées sur l'identité (politiques) IAM

Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :

Attacher une stratégie d’autorisations à un utilisateur ou à un groupe de votre compte : pour autoriser un utilisateur à créer une ressource, comme une application, vous pouvez attacher une stratégie d’autorisations à un utilisateur ou à un groupe auquel l’utilisateur appartient.
Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre Compte AWS (par exemple, le compte B) ou à un service Amazon comme suit :
1. Compte Un administrateur crée un IAM rôle et associe une politique d'autorisation au rôle qui accorde des autorisations sur les ressources du compte A.
2. L'administrateur du compte A lie une politique d'approbation au rôle identifiant le compte B comme principal pouvant assumer ce rôle.
3. L’administrateur du compte B peut alors déléguer les autorisations pour affecter ce rôle à tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A. Le principal dans la stratégie d’approbation peut également être un principal de service Amazon si vous souhaitez accorder à un service Amazon des autorisations pour assumer ce rôle.
Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

Voici un exemple de stratégie qui autorise l’action kinesisanalytics:CreateApplication , ce qui est nécessaire pour créer une application.

Note

Voici un exemple de stratégie de présentation. Lorsque vous associez la politique à l'utilisateur, celui-ci pourra créer une application à l'aide du AWS CLI ou AWS SDK. Mais l'utilisateur aura besoin d'autres autorisations pour configurer l'entrée et sortie. En outre, l'utilisateur aura besoin d'autorisations supplémentaires lors de l'utilisation de la console. Les sections suivantes fournissent de plus amples informations.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Pour plus d’informations sur l’utilisation des stratégies basées sur l’identité avec , voir Utilisation de politiques basées sur l'identité (IAMpolitiques) pour . Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.

Politiques basées sur une ressource

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. ne prend pas en charge les politiques basées sur une ressource.

Spécification des éléments d'une politique : actions, effets et principaux

Pour chaque ressource, le service définit un ensemble d'APIopérations. Pour accorder des autorisations pour ces API opérations, définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines API opérations peuvent nécessiter des autorisations pour plusieurs actions afin d'effectuer l'APIopération. Pour plus d'informations sur les ressources et API les opérations, consultez Ressources et opérations etActions.

Voici les éléments les plus élémentaires d'une politique :

Ressource : vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations.
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, vous pouvez utiliser create pour autoriser les utilisateurs à créer une application.
Effet - Vous spécifiez l'effet produit, autorisation ou refus, lorsque l'utilisateur demande l'action spécifique. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). ne prend pas en charge les politiques basées sur une ressource.

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des IAM JSON politiques dans le guide de IAM l'utilisateur.

Pour une toutes les API opérations et les ressources auxquelles elles s'appliquent, voir APIAutorisations : référence sur les actions, les autorisations et les ressources.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à . Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de IAM l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification et contrôle d'accès

Utilisation des stratégies basées sur une identité (stratégies IAM)