Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques d'autorisation dans AWS Organizations
Les politiques d'autorisation vous AWS Organizations permettent de configurer et de gérer de manière centralisée l'accès des principaux et des ressources dans vos comptes membres. La manière dont ces politiques affectent les unités organisationnelles (OUs) et les comptes auxquels vous les appliquez dépend du type de politique d'autorisation que vous appliquez.
Il existe deux types de politiques d'autorisation AWS Organizations : les politiques de contrôle des services (SCPs) et les politiques de contrôle des ressources (RCPs).
Rubriques
Différences entre les SCPs et les RCPs
SCPssont des commandes centrées sur le principal. SCPscréez un garde-fou en matière d'autorisations, ou fixez des limites, aux autorisations maximales accordées aux principaux sur vos comptes de membres. Vous pouvez utiliser et SCP quand vous le souhaitez pour appliquer de manière centralisée des contrôles d'accès cohérents aux principaux de votre organisation. Cela peut inclure la spécification des services auxquels vos IAM utilisateurs et vos IAM rôles peuvent accéder, des ressources auxquelles ils peuvent accéder ou des conditions dans lesquelles ils peuvent faire des demandes (par exemple, depuis des régions ou des réseaux spécifiques).
RCPssont des contrôles centrés sur les ressources. RCPscréez un garde-fou en matière d'autorisations, ou fixez des limites, aux autorisations maximales disponibles pour les ressources de vos comptes membres. Vous pouvez utiliser et RCP quand vous le souhaitez pour appliquer de manière centralisée des contrôles d'accès cohérents à l'ensemble des ressources de votre organisation. Cela peut restreindre l'accès à vos ressources afin que seules les identités appartenant à votre organisation puissent y accéder, ou spécifier les conditions dans lesquelles des identités externes à votre organisation peuvent accéder à vos ressources.
Certaines commandes peuvent être appliquées de la même manière via SCPs etRCPs. Par exemple, vous souhaiterez peut-être empêcher vos utilisateurs de télécharger des objets non chiffrés sur S3. Ces objets peuvent être écrits sous la forme d'un SCP afin de contrôler les actions que vos principaux responsables peuvent effectuer sur vos compartiments S3. Ce contrôle peut également être écrit sous la forme RCP d'un chiffrement obligatoire chaque fois qu'un utilisateur principal télécharge des objets dans votre compartiment S3. La deuxième option peut être préférée si votre compartiment permet à des entités extérieures à votre organisation, telles que des fournisseurs tiers, de télécharger des objets dans votre compartiment S3. Cependant, certains contrôles ne peuvent être implémentés que dans unRCP, et certains contrôles ne peuvent être implémentés que dans unSCP. Pour de plus amples informations, veuillez consulter Cas d'utilisation généraux pour SCPs et RCPs.
Utilisation SCPs et RCPs
SCPset RCPs sont des commandes indépendantes. Vous pouvez choisir d'activer uniquement SCPs ou RCPs d'utiliser les deux types de politique ensemble. En utilisant les deux SCPs etRCPs, vous pouvez créer un périmètre de données
SCPsoffrent la possibilité de contrôler les ressources auxquelles vos identités peuvent accéder. Par exemple, vous pouvez autoriser vos identités à accéder aux ressources de votre AWS organisation. Toutefois, vous souhaiterez peut-être empêcher vos identités d'accéder à des ressources extérieures à votre organisation. Vous pouvez appliquer ce contrôle à l'aide deSCPs.
RCPsoffrez la possibilité de contrôler quelles identités peuvent accéder à vos ressources. Par exemple, vous souhaiterez peut-être autoriser les identités de votre organisation à accéder aux ressources de votre organisation. Toutefois, vous souhaiterez peut-être empêcher les identités extérieures à votre organisation d'accéder à vos ressources. Vous pouvez appliquer ce contrôle à l'aide deRCPs. RCPsfournir la possibilité d'influencer les autorisations effectives pour les principaux externes à votre organisation qui accèdent à vos ressources. SCPsne peut avoir d'impact que sur les autorisations effectives accordées aux directeurs au sein de votre AWS organisation.
Cas d'utilisation généraux pour SCPs et RCPs
Le tableau suivant détaille les cas d'utilisation généraux d'un SCP et RCPs
| Répercussions | |||||
|---|---|---|---|---|---|
| Cas d'utilisation | Type de politique | Vos identités | Identités externes | Vos ressources | Ressources externes (cible de la demande) |
| Limitez les services ou les actions que vos identités peuvent utiliser | SCP | X | X | X | |
| Limitez les ressources auxquelles vos identités peuvent accéder | SCP | X | X | X | |
| Appliquez les exigences relatives à la manière dont vos identités peuvent accéder aux ressources | SCP | X | X | X | |
| Limitez les identités autorisées à accéder à vos ressources | RCP | X | X | X | |
| Protégez les ressources sensibles de votre organisation | RCP | X | X | X | |
| Appliquez les exigences relatives à l'accès à vos ressources | RCP | X | X | X | |
