Gérer les autorisations d'accès pour une organisation avec AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les autorisations d'accès pour une organisation avec AWS Organizations

Toutes les AWS ressources, y compris les racinesOUs, les comptes et les politiques d'une organisation, appartiennent à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Le compte de gestion d'une organisation possède toutes les ressources. Un administrateur de compte peut contrôler l'accès aux AWS ressources en associant des politiques d'autorisation aux IAM identités (utilisateurs, groupes et rôles).

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Par défaut, IAM les utilisateurs, les groupes et les rôles ne disposent d'aucune autorisation. En tant qu'administrateur du compte de gestion d'une organisation, vous pouvez effectuer des tâches administratives ou déléguer des autorisations d'administrateur à d'autres IAM utilisateurs ou rôles dans le compte de gestion. Pour ce faire, vous devez associer une politique d'IAMautorisation à un IAM utilisateur, à un groupe ou à un rôle. Par défaut, un utilisateur ne dispose d'aucune autorisation. C'est ce que l'on appelle un refus implicite. La politique remplace le refus implicite par une autorisation explicite qui spécifie les actions que l'utilisateur peut exécuter et les ressources sur lesquelles il peut les exécuter. Si les autorisations sont accordées à un rôle, les utilisateurs dans d'autres comptes de l'organisation peuvent assumer ce rôle.

AWS Organizations ressources et opérations

Cette section explique comment AWS Organizations les concepts correspondent à leurs concepts IAM équivalents.

Ressources

Dans AWS Organizations, vous pouvez contrôler l'accès aux ressources suivantes :

  • Les racines et les OUs éléments qui constituent la structure hiérarchique d'une organisation

  • Les comptes qui sont membres de l'organisation

  • Les politiques que vous attachez aux entités de l'organisation

  • Les handshakes que vous utilisez pour modifier l'état de l'organisation

Chacune de ces ressources est associée à un nom de ressource Amazon unique (ARN). Vous contrôlez l'accès à une ressource en la spécifiant ARN dans l'Resourceélément d'une politique d'IAMautorisation. Pour une liste complète des ARN formats des ressources utilisées AWS Organizations, voir les types de ressources définis par AWS Organizations dans la référence d'autorisation de service.

Opérations

AWS fournit un ensemble d'opérations permettant de travailler avec les ressources d'une organisation. Ces opérations vous permettent de réaliser des tâches telles que la création, l'énumération et la modification de contenus, ainsi que l'accès aux contenus et la suppression des ressources. La plupart des opérations peuvent être référencées dans l'Actionélément d'une IAM politique afin de contrôler qui peut utiliser cette opération. Pour obtenir la liste des AWS Organizations opérations pouvant être utilisées comme autorisations dans une IAM politique, consultez la section Actions définies par les organisations dans la référence d'autorisation de service.

Lorsque vous associez un élément Action et un élément Resource dans une politique d'autorisation Statement individuelle, vous contrôlez exactement les ressources sur lesquelles un ensemble particulier d'actions peuvent être utilisées.

Clés de condition

AWS fournit des clés de condition que vous pouvez interroger afin de mieux contrôler certaines actions. Vous pouvez faire référence à ces clés de condition dans l'Conditionélément d'une IAM politique afin de spécifier les circonstances supplémentaires qui doivent être remplies pour que la déclaration soit considérée comme une correspondance.

Les clés de condition suivantes sont particulièrement utiles dans les cas AWS Organizations suivants :

  • aws:PrincipalOrgID : simplifie la spécification de l'élément Principal dans une politique basée sur les ressources. Cette clé globale constitue une alternative à la liste de tous IDs les comptes Comptes AWS d'une organisation. Au lieu de répertorier tous les comptes qui sont membres d'une organisation, vous pouvez spécifier l'ID d'organisation dans l'élément Condition.

    Note

    Cette condition globale s'applique également au compte de gestion d'une organisation.

    Pour plus d'informations, consultez la description des clés AWS contextuelles PrincipalOrgID en condition globale dans le Guide de IAM l'utilisateur.

  • aws:PrincipalOrgPaths : utilisez cette clé de condition pour faire correspondre les membres d'une racine d'organisation spécifique, d'une unité d'organisation ou de ses enfants. La clé de aws:PrincipalOrgPaths condition renvoie true lorsque le principal (utilisateur root, IAM utilisateur ou rôle) à l'origine de la demande se trouve dans le chemin d'organisation spécifié. Un chemin est une représentation textuelle de la structure d'une AWS Organizations entité. Pour plus d'informations sur les chemins, voir Comprendre le chemin de l' AWS Organizations entité dans le Guide de IAM l'utilisateur. Pour plus d'informations sur l'utilisation de cette clé de condition, consultez aws : PrincipalOrgPaths dans le guide de IAM l'utilisateur.

    Par exemple, l'élément de condition suivant correspond aux membres de l'une ou OUs l'autre des deux organisations.

    "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }
  • organizations:PolicyType— Vous pouvez utiliser cette clé de condition pour limiter les API opérations liées aux politiques des Organisations afin qu'elles ne fonctionnent que sur les politiques des Organisations du type spécifié. Vous pouvez appliquer cette clé de condition à toute déclaration de politique qui inclut une action interagissant avec les politiques Organizations.

    Vous pouvez utiliser les valeurs suivantes avec cette clé de condition :

    • SERVICE_CONTROL_POLICY

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    L'exemple de politique suivant permet à l'utilisateur d'effectuer n'importe quelle opération Organizations. Toutefois, si l'utilisateur effectue une opération qui prend un argument de politique, l'opération n'est autorisée que si la politique spécifiée est une politique de balisage. L'opération échoue si l'utilisateur spécifie un autre type de politique.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies", "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "TAG_POLICY" ] } } } ] }
  • organizations:ServicePrincipal— Disponible sous condition si vous utilisez les opérations E nableAWSService Access ou D isableAWSService Access pour activer ou désactiver l'accès sécurisé à d'autres AWS services. Vous pouvez utiliser organizations:ServicePrincipal pour restreindre les demandes que ces opérations effectuent à une liste de noms de principal de service approuvés.

    Par exemple, la politique suivante permet à l'utilisateur de spécifier uniquement AWS Firewall Manager lors de l'activation et de la désactivation de l'accès sécurisé avec AWS Organizations.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ] }

Pour obtenir la liste de toutes les clés de AWS Organizations condition spécifiques qui peuvent être utilisées comme autorisations dans une IAM politique, consultez la section Clés de condition pour AWS Organizations la référence d'autorisation de service.

Présentation de la propriété des ressources

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire l'utilisateur root, un IAM utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Pour une organisation, il s'agit toujours du compte de gestion. Vous ne pouvez pas appeler la plupart des opérations qui créent ou consultent les ressources de l'organisation à partir des comptes membres. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification du compte racine de votre compte de gestion pour créer une unité d'organisation, votre compte de gestion est le propriétaire de la ressource. (Dans AWS Organizations, la ressource est l'UO).

  • Si vous créez un IAM utilisateur dans votre compte de gestion et que vous accordez des autorisations pour créer une unité d'organisation à cet utilisateur, celui-ci peut créer une unité d'organisation. Toutefois, le compte de gestion, auquel appartient l'utilisateur, détient la ressource de l'unité d'organisation.

  • Si vous créez un IAM rôle dans votre compte de gestion avec les autorisations nécessaires pour créer une unité d'organisation, toute personne pouvant assumer ce rôle peut créer une unité d'organisation. Le compte de gestion, auquel appartient le rôle (pas l'utilisateur qui l'assume), détient la ressource de l'unité d'organisation.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section traite de l'utilisation IAM dans le contexte de AWS Organizations. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, consultez le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la référence des IAM JSON politiques dans le Guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Organizations prend uniquement en charge les politiques basées sur l'identité (IAMpolitiques).

Stratégies d'autorisation basées sur l'identité (stratégies IAM)

Vous pouvez associer des politiques aux IAM identités pour permettre à ces identités d'effectuer des opérations sur les AWS ressources. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associer une politique d'autorisations à un utilisateur ou à un groupe de votre compte : pour accorder à un utilisateur l'autorisation de créer une AWS Organizations ressource, telle qu'une politique de contrôle des services (SCP) ou une unité d'organisation, vous pouvez associer une politique d'autorisations à un utilisateur ou à un groupe auquel appartient l'utilisateur. L'utilisateur ou le groupe doit se trouver dans le compte de gestion de l'organisation.

  • Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle afin d'accorder un accès entre comptes à une organisation. Par exemple, l'administrateur du compte de gestion peut créer un rôle pour accorder des autorisations intercomptes à un utilisateur d'un compte membre en procédant comme suit :

    1. L'administrateur du compte de gestion crée un IAM rôle et y associe une politique d'autorisation qui accorde des autorisations aux ressources de l'organisation.

    2. L'administrateur du compte de gestion attache une politique d'approbation au rôle qui identifie l'ID de compte membre comme mandataire (Principal) pouvant assumer ce rôle.

    3. L'administrateur du compte membre peut ensuite déléguer des autorisations d'assumer le rôle à tous les utilisateurs du compte membre. Cela permet aux utilisateurs du compte membre de créer ou de consulter les ressources du compte de gestion et de l'organisation. Le principal de la politique de confiance peut également être un principal de AWS service si vous souhaitez autoriser un AWS service à assumer ce rôle.

    Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

Voici des exemples de politiques autorisant un utilisateur à exécuter l'action CreateAccount dans votre organisation.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1OrgPermissions", "Effect":"Allow", "Action":[ "organizations:CreateAccount" ], "Resource":"*" } ] }

Vous pouvez également fournir une partie ARN dans l'Resourceélément de la politique pour indiquer le type de ressource.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowCreatingAccountsOnResource", "Effect":"Allow", "Action":"organizations:CreateAccount", "Resource":"arn:aws:organizations::*:account/*" } ] }

Vous pouvez également refuser la création de comptes qui n'incluent pas de balises spécifiques au compte en cours de création.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyCreatingAccountsOnResourceBasedOnTag", "Effect":"Deny", "Action":"organizations:CreateAccount", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/key":"value" } } } ] }

Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section IAMIdentités (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de IAM l'utilisateur.

Politiques basées sur les ressources

Certains services, comme Amazon S3, prennent en charge les politiques d'autorisations basées sur les ressources. Par exemple, vous pouvez associer une politique à un compartiment Amazon S3 afin de gérer les autorisations d'accès à ce compartiment. AWS Organizations ne prend actuellement pas en charge les politiques basées sur les ressources.

Spécification des éléments d'une politique : actions, conditions, effets et ressources

Pour chaque AWS Organizations ressource, le service définit un ensemble d'APIopérations, ou d'actions, qui peuvent interagir avec cette ressource ou la manipuler d'une manière ou d'une autre. Pour accorder des autorisations pour ces opérations, AWS Organizations définit un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la ressource UO, AWS Organizations définit les actions suivantes :

  • AttachPolicy et DetachPolicy

  • CreateOrganizationalUnit et DeleteOrganizationalUnit

  • ListOrganizationalUnits et DescribeOrganizationalUnit

Dans certains cas, l'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions et des autorisations pour plusieurs ressources.

Les éléments les plus élémentaires que vous pouvez utiliser dans une politique d'IAMautorisation sont les suivants :

  • Action : utilisez ce mot-clé pour identifier les opérations (actions) que vous souhaitez autoriser ou refuser. Par exemple, en fonction de ce qui est spécifiéEffect, organizations:CreateAccount autorise ou refuse à l'utilisateur les autorisations nécessaires pour effectuer l' AWS Organizations CreateAccountopération. Pour plus d'informations, voir Éléments IAM JSON de politique : action dans le guide de IAM l'utilisateur.

  • Ressource : utilisez ce mot clé pour spécifier ARN la ressource à laquelle s'applique la déclaration de politique. Pour plus d'informations, voir Éléments IAM JSON de politique : ressource dans le guide de IAM l'utilisateur.

  • Condition : utilisez ce mot-clé pour spécifier une condition qui doit être remplie pour que l'instruction de politique s'applique. Condition spécifie généralement des circonstances supplémentaires qui doivent être vraies pour que la politique corresponde. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.

  • Effect : utilisez ce mot-clé pour spécifier si l'instruction de politique autorise ou refuse l'action sur la ressource. Si vous n'accordez pas explicitement l'accès à (autorisez) une ressource, l'accès est implicitement refusé. Vous pouvez également refuser explicitement l'accès à une ressource, pour veiller à ce qu'un utilisateur ne puisse pas exécuter l'action spécifiée sur la ressource spécifiée, même si une politique différente accorde l'accès. Pour plus d'informations, voir Éléments IAM JSON de politique : effet dans le guide de IAM l'utilisateur.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est automatiquement et implicitement le principal. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Organizations prend actuellement en charge uniquement les politiques basées sur l'identité, et non les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux IAM JSON politiques dans le Guide de IAM l'utilisateur.