Ressources et opérations Présentation de la propriété des ressources Gestion de l'accès aux ressources Spécification des éléments d'une politique : actions, effets et principaux Spécification de conditions dans une politique

Après mûre réflexion, nous avons décidé de mettre fin à Amazon Kinesis Data Analytics pour les applications SQL en deux étapes :

1. À compter du 15 octobre 2025, vous ne pourrez plus créer de nouvelles applications Kinesis Data Analytics for SQL.

2. Nous supprimerons vos candidatures à compter du 27 janvier 2026. Vous ne pourrez ni démarrer ni utiliser vos applications Amazon Kinesis Data Analytics for SQL. Support ne sera plus disponible pour Amazon Kinesis Data Analytics for SQL à partir de cette date. Pour de plus amples informations, veuillez consulter Arrêt d'Amazon Kinesis Data Analytics pour les applications SQL.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources

Avertissement

Pour les nouveaux projets, nous vous recommandons d’utiliser le nouveau service géré pour Apache Flink Studio plutôt que les applications Kinesis Data Analytics pour SQL. Le service géré pour Apache Flink Studio allie facilité d’utilisation et capacités analytiques avancées, ce qui vous permet de créer des applications sophistiquées de traitement des flux en quelques minutes.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés dans IAM par un fournisseur d’identité :

Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
Utilisateurs IAM :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Rubriques

Ressources et opérations
Présentation de la propriété des ressources
Gestion de l'accès aux ressources
Spécification des éléments d'une politique : actions, effets et principaux
Spécification de conditions dans une politique

Ressources et opérations

La ressource principale est une application. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique.

Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.

Type de ressource	Format ARN
Application	`arn:aws:kinesisanalytics:region:account-id:application/application-name`

fournit un ensemble d’opérations pour utiliser les ressources. Pour obtenir la liste des opérations disponibles, consultez Actions.

Présentation de la propriété des ressources

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire le compte root, un utilisateur ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une application, vous Compte AWS êtes le propriétaire de la ressource. (Dans , la ressource est une application.)
Si vous créez un utilisateur dans votre compte Compte AWS et que vous lui accordez l'autorisation de créer une application, celui-ci peut créer une application. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de l'application. Nous vous recommandons vivement d’accorder des autorisations aux rôles et non aux utilisateurs.
Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer une application, toute personne capable d'assumer ce rôle peut créer une application. Vous Compte AWS, à laquelle appartient l'utilisateur, êtes propriétaire de la ressource de l'application.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d' . Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter Référence de politique JSON IAM dans le Guide de l'utilisateur IAM.

Les politiques qui sont associées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les stratégies qui sont associées à une ressource sont appelées des stratégies basées sur les ressources. prend en charge uniquement les stratégies basées sur l’identité (politiques IAM).

Rubriques

Politiques basées sur une identité (politiques IAM)
Politiques basées sur une ressource

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

Attacher une stratégie d’autorisations à un utilisateur ou à un groupe de votre compte : pour autoriser un utilisateur à créer une ressource, comme une application, vous pouvez attacher une stratégie d’autorisations à un utilisateur ou à un groupe auquel l’utilisateur appartient.
Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre Compte AWS (par exemple, le compte B) ou à un service Amazon comme suit :
1. L'administrateur du compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le compte A.
2. L'administrateur du compte A lie une politique d'approbation au rôle identifiant le compte B comme principal pouvant assumer ce rôle.
3. L’administrateur du compte B peut alors déléguer les autorisations pour affecter ce rôle à tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A. Le principal dans la stratégie d’approbation peut également être un principal de service Amazon si vous souhaitez accorder à un service Amazon des autorisations pour assumer ce rôle.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Voici un exemple de stratégie qui autorise l’action kinesisanalytics:CreateApplication , ce qui est nécessaire pour créer une application.

Note

Voici un exemple de stratégie de présentation. Lorsque vous associez la politique à l'utilisateur, celui-ci pourra créer une application à l'aide du AWS CLI AWS SDK. Mais l'utilisateur aura besoin d'autres autorisations pour configurer l'entrée et sortie. En outre, l'utilisateur aura besoin d'autorisations supplémentaires lors de l'utilisation de la console. Les sections suivantes fournissent de plus amples informations.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Pour plus d’informations sur l’utilisation des stratégies basées sur l’identité avec , voir Utilisation des stratégies basées sur une identité (Politiques IAM) pour . Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Politiques basées sur une ressource

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. ne prend pas en charge les politiques basées sur une ressource.

Spécification des éléments d'une politique : actions, effets et principaux

Pour chaque ressource , le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines opérations d'API peuvent exiger des autorisations pour plusieurs actions afin de réaliser l'opération d'API. Pour plus d'informations sur les ressources et les opérations de l'API, consultez Ressources et opérations et Actions.

Voici les éléments les plus élémentaires d'une politique :

Ressource : vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour de plus amples informations, veuillez consulter Ressources et opérations.
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, vous pouvez utiliser create pour autoriser les utilisateurs à créer une application.
Effet - Vous spécifiez l'effet produit, autorisation ou refus, lorsque l'utilisateur demande l'action spécifique. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Principal – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). ne prend pas en charge les politiques basées sur une ressource.

Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, veuillez consulter Référence de politique JSON IAM dans le Guide de l'utilisateur IAM.

Pour obtenir une liste des présentant toutes les opérations d’API, ainsi que les ressources auxquelles elles s’appliquent, consultez Autorisations d’API : référence des actions, des autorisations et des ressources.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à . Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de l'utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification et contrôle d'accès

Utilisation des politiques basées sur une identité (politiques IAM)