Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques de contrôle des ressources
Les exemples de politiques de contrôle des ressources (RCPs) présentés dans cette rubrique sont fournis à titre informatif uniquement. Pour des exemples de périmètre de données, voir Exemples de politique de périmètre
Avant d'utiliser ces exemples
Avant d'utiliser ces exemples RCPs dans votre organisation, procédez comme suit :
-
Révisez-les attentivement et personnalisez-les RCPs en fonction de vos besoins uniques.
-
Testez minutieusement RCPs les AWS services que vous utilisez dans votre environnement.
Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation deRCPs. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique afin de déterminer si elle répond aux exigences commerciales de votre environnement. Les politiques de contrôle des ressources basées sur le refus peuvent involontairement limiter ou bloquer votre utilisation des AWS services, sauf si vous ajoutez les exceptions nécessaires à la politique.
Exemples généraux
Rubriques
RCPFullAWSAccess
La politique suivante est une politique AWS gérée qui est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Cette valeur par défaut RCP permet à tous les principaux et à toutes les actions d'accéder à vos ressources, ce qui signifie que toutes vos IAM autorisations existantes continuent de fonctionner comme elles le faisaient jusqu'à ce que vous commenciez à les créer et à les joindreRCPs. Il n'est pas nécessaire de tester l'effet de cette politique, car elle permettra au comportement d'autorisation existant de se poursuivre pour vos ressources.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
Protection des adjoints confuse entre les services
Certains Services AWS (services d'appel) utilisent leur Service AWS principal pour accéder aux AWS ressources d'autres Services AWS (appelés services). Lorsqu'un acteur qui n'est pas censé avoir accès à une AWS ressource tente d'utiliser la confiance d'un Service AWS directeur pour interagir avec des ressources auxquelles il n'est pas censé avoir accès, c'est ce que l'on appelle le problème des adjoints confus interservices. Pour plus d'informations, voir Le problème de confusion des adjoints dans le guide de IAM l'utilisateur
La politique suivante exige que Service AWS les principaux accédant à vos ressources le fassent uniquement pour répondre aux demandes de votre organisation. Cette politique applique le contrôle uniquement aux demandes aws:SourceAccount présentes afin que les intégrations de services qui ne nécessitent pas l'utilisation de aws:SourceAccount ne soient pas affectées. Si le aws:SourceAccount est présent dans le contexte de la demande, la Null condition sera évaluée àtrue, ce qui entraînera l'application de la aws:SourceOrgID clé.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RCPEnforceConfusedDeputyProtection", "Effect": "Deny", "Principal": "*", "Action": [ "s3:*", "sqs:*", "secretsmanager:*" ], "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:SourceOrgID": "my-org-id" }, "Bool": { "aws:PrincipalIsAWSService": "true" }, "Null": { "aws:SourceAccount": "false" } } } ] }
Limitez l'accès aux seules HTTPS connexions à vos ressources
La politique suivante exige que l'accès à vos ressources ne se fasse que sur des connexions chiffrées via HTTPS (TLS). Cela peut vous aider à empêcher les attaquants potentiels de manipuler le trafic réseau.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceSecureTransport", "Effect": "Deny", "Principal": "*", "Action": [ "sts:*", "s3:*", "sqs:*", "secretsmanager:*", "kms:*" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
Contrôles cohérents des politiques relatives aux compartiments Amazon S3
RCPCe qui suit contient plusieurs instructions visant à appliquer des contrôles d'accès cohérents sur les compartiments Amazon S3 au sein de votre organisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceS3TlsVersion", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition": { "NumericLessThan": { "s3:TlsVersion": [ "1.2" ] } } }, { "Sid": "EnforceKMSEncryption", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "*", "Condition": { "Null": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "true" } } } ] }
-
ID de déclaration
EnforceS3TlsVersion— Nécessite une TLS version minimale de 1.2 pour accéder aux compartiments S3. -
ID de déclaration
EnforceKMSEncryption— Exiger que les objets soient chiffrés côté serveur à l'aide KMS de clés.
