Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des autorisations dans AMS à l'aide de rôles et de profils IAM
AMS utilise Gestion des identités et des accès AWS (IAM) pour gérer les utilisateurs, des informations d'identification de sécurité telles que les clés d'accès et des autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs et les applications peuvent accéder. AMS fournit un rôle d'utilisateur IAM par défaut et un profil d'instance Amazon EC2 par défaut (qui inclut une déclaration autorisant l'accès aux ressources au rôle d'utilisateur IAM par défaut).
## Demande d'un nouveau rôle d'utilisateur IAM ou d'un nouveau profil d'instance
AMS utilise un rôle IAM pour définir les autorisations des utilisateurs via votre service de fédération et un profil d'instance IAM en tant que conteneur pour ce rôle IAM.
Vous pouvez demander un rôle IAM personnalisé avec le type de changement Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Créer une entité ou une politique (automatisation gérée) (ct-3dpd8mdd9jn1r), ou un profil d'instance IAM avec le profil Management \$1 Applications \$1 Profil d'instance IAM \$1 Créer une gestion \$1 Applications \$1 Profil d'instance IAM \$1 Créer un type de modification (automatisation gérée) (ct-00 (ixp4ch2tiu04). Consultez les descriptions de chacun dans cette section.
**Note**
AMS applique une politique IAM `customer_deny_policy` qui bloque les espaces de noms et les actions dangereux. Cette politique est attachée par défaut à tous les rôles des clients AMS et pose rarement problème aux utilisateurs. Vos demandes d'utilisateur et de rôle IAM n'incluent pas cette politique, mais l'inclusion automatique des demandes de `customer_deny_policy` rôles IAM permet à AMS de déployer de nouveaux profils d'instance IAM plus rapidement. Vous pouvez demander l'exclusion de cette `customer_deny_policy` politique. Cependant, cette demande fera l'objet d'un examen de sécurité approfondi et sera probablement refusée pour des raisons de sécurité.
# Limitez les autorisations avec des déclarations de politique de rôle IAM
AMS utilise un rôle IAM pour définir les autorisations des utilisateurs via votre service de fédération.
**Zone d'accueil à compte unique AMS** : voir [SALZ : Rôles d'utilisateur IAM par défaut](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).
**Zone d'accueil multi-comptes AMS** : voir [MALZ : Rôles des utilisateurs IAM par défaut](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz).
Un rôle IAM est une entité IAM qui définit un ensemble d'autorisations pour effectuer des demandes de AWS service. Les rôles IAM ne sont pas associés à un utilisateur ou à un groupe spécifique. Les entités de confiance assument plutôt des rôles, tels que des utilisateurs IAM, des applications ou AWS des services tels qu'Amazon EC2. Pour en savoir plus, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Vous pouvez définir la politique souhaitée pour un utilisateur assumant le rôle d'utilisateur AMS IAM en utilisant l'opération d'API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)en transmettant une politique IAM plus restrictive dans le champ de `Policy` demande.
Des exemples de déclarations de politique que vous pouvez utiliser pour restreindre l'accès à la tomodensitométrie sont fournis ci-dessous.
À l'aide des groupes Active Directory (AD) que vous avez configurés et du fonctionnement de l'API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), vous pouvez définir des autorisations pour certains utilisateurs ou groupes, notamment en restreignant l'accès à certains types de modifications (CTs). Vous pouvez utiliser les déclarations de politique ci-dessous pour restreindre l'accès à la tomodensitométrie de différentes manières.
Instruction de type de modification AMS dans le profil d'instance IAM par défaut qui permet d'accéder à tous les appels d'API AMS (amscm et amsskms) et à tous les types de modification :
```
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
}
```
1. Déclaration autorisant l'accès et toutes les actions pour deux applications spécifiées uniquement CTs, où « Action » correspond aux opérations de l'API AMS (`amscm`ou bien`amsskms`), et « Ressource » représente le type de modification IDs et le numéro de version existants :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "amscm:*",
"Resource": [
"arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
"arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
]
}
]
}
```
------
1. Déclaration autorisant l'accès pour CreateRfc UpdateRfc, et SubmitRfc sur les deux seules données spécifiées CTs :
1. Déclaration autorisant l'accès pour CreateRfc UpdateRfc, et SubmitRfc sur tous les éléments disponibles CTs :
1. Déclaration visant à refuser l'accès à toutes les actions relatives à la tomodensitométrie restreinte et à n'en autoriser aucune autre CTs :
# Restreindre les autorisations avec les profils d'instance Amazon EC2 IAM
Un profil d'instance IAM est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance Amazon lorsque celle-ci démarre.
Il existe actuellement un profil d'instance par défaut AWS Managed Services (AMS) qui accorde des autorisations aux applications exécutées sur l'instance, et non aux utilisateurs qui se connectent à l'instance. `customer-mc-ec2-instance-profile` Vous souhaiterez peut-être modifier le profil d'instance par défaut, ou en créer un nouveau, si vous souhaitez donner à une instance l'accès à quelque chose, sans accorder l'accès à d'autres instances également. Vous pouvez demander un nouveau profil d'instance IAM via le lien Gestion \$1 Applications \$1 Profil d'instance IAM \$1 Créer un type de modification (ct-0ixp4ch2tiu04). Lorsque vous soumettez la RFC, vous pouvez créer votre propre profil d'instance et l'inclure dans le fichier InstanceProfileDescription, ou vous pouvez simplement informer AMS (en utilisant le même champ) des modifications que vous souhaitez apporter. Comme il s'agit d'un scanner manuel, AMS doit approuver le changement et vous contactera à ce sujet.
Si vous ne connaissez pas les politiques Amazon IAM, consultez la section [Présentation des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) pour obtenir des informations importantes. Il existe également un bon article de blog intitulé [Demystifying EC2 Amazon](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/) Resource-Level Permissions. Notez qu'AMS ne prend actuellement pas en charge le contrôle d'accès basé sur les ressources, mais prend en charge les contrôles au niveau des ressources à l'aide de politiques de rôle IAM (pour une explication de la différence, voir [AWS Services](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) qui fonctionnent avec IAM).
**Zone d'atterrissage à compte unique AMS** :
Pour consulter un tableau des autorisations accordées par le profil d'instance AMS IAM par défaut, accédez à Profil d'[instance EC2 IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html).