Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe d’une RCP
Les politiques de contrôle des ressources (RCPs) utilisent une syntaxe similaire à celle utilisée par les politiques basées sur les ressources. Pour plus d'informations sur les politiques IAM et leur syntaxe, consultez Présentation des politiques IAM dans le Guide de l'utilisateur IAM.
Un RCP est structuré selon les règles du JSON
Note
Tous les caractères de votre RCP sont pris en compte dans sa taille maximale. Les exemples présentés dans ce guide montrent les RCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
Pour des informations générales sur RCPs, voirPolitiques de contrôle des ressources (RCPs).
Récapitulatif des éléments
Le tableau suivant récapitule les éléments de stratégie que vous pouvez utiliser dans RCPs. La colonne Effets pris en charge répertorie le type d'effet que vous pouvez utiliser avec chaque élément de politique RCPs.
Note
L'effet de n'Allowest pris en charge que pour la RCPFullAWSAccess politique
L'effet de n'Allowest pris en charge que pour la RCPFullAWSAccess politique. Cette politique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Ce RCP par défaut permet à tous les principaux et à toutes les actions de passer par une évaluation RCP, ce qui signifie que jusqu'à ce que vous commenciez à créer et à joindre RCPs, toutes vos autorisations IAM existantes continuent de fonctionner comme elles le faisaient. Cela n'autorise pas l'accès.
| Element | Objectif |
|---|---|
| Version | Spécifie les règles de syntaxe du langage à utiliser pour le traitement de la politique. |
| Instruction | Sert de conteneur pour les éléments de politique. Vous pouvez avoir plusieurs instructions dans RCPs. |
| ID d’instruction (Sid) | (Facultatif) Fournit un nom simple pour l'instruction. |
| Effet | Définit si l'instruction RCP refuse l'accès aux ressources d'un compte. |
| Principal | Spécifie le principal auquel l'accès aux ressources d'un compte est autorisé ou refusé. |
|
Spécifie le AWS service et les actions que le RCP autorise ou refuse. |
|
| Ressource | Spécifie les AWS ressources auxquelles le RCP s'applique. |
| NotResource |
Spécifie les AWS ressources exemptées du RCP. Utilisé au lieu de l'élément |
| Condition | Spécifie les conditions lorsque l’instruction est vigueur. |
Rubriques
Élément Version
Chaque RCP doit inclure un Version élément avec la valeur"2012-10-17". Il s'agit de la même valeur de version que la version la plus récente des politiques d'autorisation IAM.
"Version": "2012-10-17",
Pour plus d'informations, consultez Éléments de politique JSON IAM : Version dans le Guide de l'utilisateur IAM.
Élément Statement
Un RCP est composé d'un ou de plusieurs Statement éléments. Vous ne pouvez avoir qu'un mot clé Statement dans une politique, mais la valeur peut être un tableau d'instructions JSON (encadré par des caractères [ ]).
L'exemple suivant montre une instruction unique composée d'Resourceéléments simples Effect PrincipalAction,, et.
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Pour plus d'informations, consultez Éléments de politique JSON IAM : Instruction dans le Guide de l'utilisateur IAM.
Élément ID d'instruction (Sid)
L'élément Sid est un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur Sid à chaque instruction d'un tableau d'instructions. L'exemple de RCP suivant montre un exemple d'Sidinstruction.
{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Pour plus d'informations, consultez IAM JSON Policy Elements : Sid dans le guide de l'utilisateur IAM.
Élément Effect
Chaque instruction doit contenir un élément Effect. En utilisant la valeur de Deny dans l'Effectélément, vous pouvez restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. RCPs Pour RCPs que vous puissiez créer cela, la valeur doit êtreDeny. Pour plus d'informations, consultez RCPévaluation la section Eléments de politique JSON IAM : effet dans le guide de l'utilisateur IAM.
Élément Principal
Chaque déclaration doit contenir l'Principalélément. Vous ne pouvez spécifier « * » que dans l'Principalélément d'un RCP. Utilisez l'Conditionsélément pour restreindre des principes spécifiques.
Pour plus d'informations, voir IAM JSON Policy Elements : Principal dans le guide de l'utilisateur IAM.
Élément Action
Chaque déclaration doit contenir l'Actionélément.
La valeur de l'Actionélément est une chaîne ou une liste (un tableau JSON) de chaînes identifiant les AWS services et les actions autorisés ou refusés par l'instruction.
Chaque chaîne est composée de l'abréviation du service (telle que « s3 », « sqs » ou « sts »), en minuscules, suivie de deux points, puis d'une action de ce service. En général, ils sont tous saisis avec chaque mot commençant par une lettre majuscule et le reste par une minuscule. olpPar exemple : "s3:ListAllMyBuckets".
Vous pouvez également utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) dans un RCP :
-
Utilisez un astérisque (*) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom. La valeur
"s3:*"signifie toutes les actions dans le service Amazon S3. La valeur"sts:Get*"correspond uniquement aux AWS STS actions qui commencent par « Obtenir ». -
Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Note
Caractères génériques (*) et points d'interrogation (?) peut être utilisé n'importe où dans le nom de l'action
Contrairement à SCPs, vous pouvez utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) n'importe où dans le nom de l'action.
Pour obtenir la liste des services pris en charge RCPs, consultezListe de Services AWS ce support RCPs. Pour obtenir la liste des actions prises en Service AWS charge, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation des services.
Pour plus d'informations, consultez Éléments de politique JSON IAM : Action dans le Guide de l'utilisateur IAM.
Éléments Resource et NotResource
Chaque instruction doit contenir l'NotResourceélément Resource or.
Vous pouvez utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) dans l'élément ressource :
-
Utilisez un astérisque (*) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom.
-
Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Pour plus d'informations, consultez IAM JSON Policy Elements : Resource et IAM JSON Policy Elements : NotResource dans le guide de l'utilisateur IAM.
Élément Condition
Vous pouvez spécifier un Condition élément dans les instructions de refus d'un RCP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
Ce RCP refuse l'accès aux opérations et aux ressources d'Amazon S3 sauf si la demande est envoyée via un transport sécurisé (la demande a été envoyée via TLS).
Pour plus d'informations, consultez Éléments de politique JSON IAM : Condition dans le Guide de l'utilisateur IAM.
Élément non pris en charge
Les éléments suivants ne sont pas pris en charge dans RCPs :
-
NotPrincipal NotAction
