Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe de RCP
Les politiques de contrôle des ressources (RCPs) utilisent une syntaxe similaire à celle utilisée par les politiques basées sur les ressources. Pour plus d'informations sur IAM les politiques et leur syntaxe, consultez la section Présentation des IAM politiques dans le guide de IAM l'utilisateur.
An RCP est structuré selon les règles de JSON
Note
Tous les caractères de votre choix sont RCP pris en compte dans sa taille maximale. Les exemples présentés dans ce guide montrent les RCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
Pour obtenir des informations générales sur RCPs, veuillez consulter Politiques de contrôle des ressources (RCPs).
Récapitulatif des éléments
Le tableau suivant récapitule les éléments de stratégie que vous pouvez utiliser dansRCPs. La colonne Effets pris en charge répertorie le type d'effet que vous pouvez utiliser avec chaque élément de politiqueRCPs.
Note
L'effet de n'Allowest pris en charge que pour la RCPFullAWSAccess politique
L'effet de n'Allowest pris en charge que pour la RCPFullAWSAccess politique. Cette politique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Cette valeur par défaut RCP autorise l'accès à tous les principes et à toutes les actions à passer par une RCP évaluation, ce qui signifie que toutes vos IAM autorisations existantes continuent de fonctionner comme elles le faisaient jusqu'à ce que vous commenciez à les créer et à les joindreRCPs. Cela n'autorise pas l'accès.
| Element | Objectif |
|---|---|
| Version | Spécifie les règles de syntaxe du langage à utiliser pour le traitement de la politique. |
| Instruction | Sert de conteneur pour les éléments de politique. Vous pouvez avoir plusieurs instructions dansRCPs. |
| ID d’instruction (Sid) | (Facultatif) Fournit un nom simple pour l'instruction. |
| Effet | Définit si l'RCPinstruction refuse l'accès aux ressources d'un compte. |
| Principal | Spécifie le principal auquel l'accès aux ressources d'un compte est autorisé ou refusé. |
|
Spécifie le AWS service et les actions RCP autorisés ou refusés. |
|
| Ressource | Spécifie les AWS ressources auxquelles RCP s'applique. |
| NotResource |
Spécifie les AWS ressources exemptées duRCP. Utilisé au lieu de l'élément |
| Condition | Spécifie les conditions lorsque l’instruction est vigueur. |
Rubriques
Élément Version
Chacun RCP doit inclure un Version élément avec la valeur"2012-10-17". Il s'agit de la même valeur de version que la version la plus récente des politiques d'IAMautorisation.
"Version": "2012-10-17",
Pour plus d'informations, voir Éléments IAM JSON de politique : version dans le guide de IAM l'utilisateur.
Élément Statement
An RCP est composé d'un ou de plusieurs Statement éléments. Vous ne pouvez avoir qu'un seul Statement mot-clé dans une politique, mais la valeur peut être un JSON tableau d'instructions (entouré de [] caractères).
L'exemple suivant montre une instruction unique composée d'Resourceéléments simples Effect PrincipalAction,, et.
{ "Statement": { "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Pour plus d'informations, voir Éléments IAM JSON de politique : déclaration dans le guide de IAM l'utilisateur.
Élément ID d'instruction (Sid)
L'élément Sid est un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur Sid à chaque instruction d'un tableau d'instructions. L'exemple suivant RCP montre un exemple de Sid déclaration.
{ "Statement": { "Sid": "DenyAllActions", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "*" } }
Pour plus d'informations, voir IAMJSONPolicy Elements : Sid dans le guide de IAM l'utilisateur.
Élément Effect
Chaque instruction doit contenir un élément Effect. En utilisant la valeur de Deny dans l'Effectélément, vous pouvez restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. RCPs Pour RCPs que vous puissiez créer cela, la valeur doit êtreDeny. Pour plus d'informations, reportez-vous à RCPévaluation la section Éléments de IAM JSON politique : effet dans le guide de IAM l'utilisateur.
Élément Principal
Chaque déclaration doit contenir l'Principalélément. Vous ne pouvez spécifier « * » que dans l'Principalélément d'unRCP. Utilisez l'Conditionsélément pour restreindre des principes spécifiques.
Pour plus d'informations, voir Éléments IAM JSON de politique : principal dans le guide de IAM l'utilisateur.
Élément Action
Chaque déclaration doit contenir l'Actionélément.
La valeur de l'Actionélément est une chaîne ou une liste (un JSON tableau) de chaînes identifiant les AWS services et les actions autorisés ou refusés par l'instruction.
Chaque chaîne est composée de l'abréviation du service (telle que « s3 », « sqs » ou « sts »), en minuscules, suivie de deux points, puis d'une action de ce service. En général, ils sont tous saisis avec chaque mot commençant par une lettre majuscule et le reste par une minuscule. olpPar exemple : "s3:ListAllMyBuckets".
Vous pouvez également utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) dans un RCP :
-
Utilisez un astérisque (*) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom. La valeur
"s3:*"signifie toutes les actions dans le service Amazon S3. La valeur"sts:Get*"correspond uniquement aux AWS STS actions qui commencent par « Obtenir ». -
Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Note
Caractères génériques (*) et points d'interrogation (?) peut être utilisé n'importe où dans le nom de l'action
Contrairement àSCPs, vous pouvez utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) n'importe où dans le nom de l'action.
Pour obtenir la liste des services pris en chargeRCPs, consultezListe de Services AWS ce support RCPs. Pour obtenir la liste des actions prises en Service AWS charge, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation des services.
Pour plus d'informations, voir Éléments IAM JSON de politique : action dans le guide de IAM l'utilisateur.
Éléments Resource et NotResource
Chaque instruction doit contenir l'NotResourceélément Resource or.
Vous pouvez utiliser des caractères génériques tels que l'astérisque (*) ou le point d'interrogation (?) dans l'élément ressource :
-
Utilisez un astérisque (*) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom.
-
Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Pour plus d'informations, voir Éléments de IAM JSON politique : ressource et Éléments IAM JSON de politique : NotResource dans le guide de IAM l'utilisateur.
Élément Condition
Vous pouvez spécifier un Condition élément dans les déclarations de refus d'unRCP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "*", "Condition:": { "BoolIfExists": { "aws:SecureTransport": "false" } } } ] }
Cela RCP empêche l'accès aux opérations et aux ressources d'Amazon S3, sauf si la demande est transmise par transport sécurisé (la demande a été envoyéeTLS).
Pour plus d'informations, voir Éléments IAM JSON de politique : condition dans le guide de IAM l'utilisateur.
Élément non pris en charge
Les éléments suivants ne sont pas pris en charge dans RCPs :
-
NotPrincipal NotAction
