Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS RAM fonctionne avec IAM
Par défaut, IAM les directeurs ne sont pas autorisés à créer ou à modifier AWS RAM des ressources. Pour permettre IAM aux principaux de créer ou de modifier des ressources et d'effectuer des tâches, vous devez effectuer l'une des étapes suivantes. Ces actions autorisent l'utilisation de ressources et d'APIactions spécifiques.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
AWS RAM fournit plusieurs politiques AWS gérées que vous pouvez utiliser pour répondre aux besoins de nombreux utilisateurs. Pour de plus amples informations, veuillez consulter Politiques AWS gérées pour AWS RAM.
Si vous avez besoin d'un contrôle plus précis sur les autorisations que vous accordez à vos utilisateurs, vous pouvez créer vos propres politiques dans la IAM console. Pour plus d'informations sur la création de politiques et leur association à vos IAM rôles et à vos utilisateurs, consultez la section Politiques et autorisations IAM dans le guide de AWS Identity and Access Management l'utilisateur.
Les sections suivantes fournissent les détails AWS RAM spécifiques à l'élaboration d'une politique d'IAMautorisation.
Table des matières
Structure d’une politique
Une politique d'IAMautorisation est un JSON document qui inclut les déclarations suivantes : effet, action, ressource et condition. Une IAM politique prend généralement la forme suivante.
{ "Statement":[{ "Effect":"<effect>", "Action":"<action>", "Resource":"<arn>", "Condition":{ "<comparison-operator>":{ "<key>":"<value>" } } }] }
Effet
L'instruction Effect indique si la politique autorise ou refuse une autorisation principale pour effectuer une action. Les valeurs possibles sont les suivantes : Allow etDeny.
Action
L'instruction Action indique les AWS RAM API actions pour lesquelles la politique autorise ou refuse l'autorisation. Pour une liste complète des actions autorisées, voir Actions définies par AWS Resource Access Manager dans le Guide de l'IAMutilisateur.
Ressource
L'instruction Resource indique les AWS RAM ressources concernées par la politique. Pour spécifier une ressource dans la déclaration, vous devez utiliser son nom de ressource Amazon unique (ARN). Pour une liste complète des ressources autorisées, voir Ressources définies par AWS Resource Access Manager dans le Guide de l'IAMutilisateur.
Condition
Les déclarations de condition sont facultatives. Ils peuvent être utilisés pour affiner davantage les conditions dans lesquelles la politique s'applique. AWS RAM prend en charge les clés de condition suivantes :
-
aws:RequestTag/${TagKey}— Teste si la demande de service inclut une balise dont la clé de balise spécifiée existe et possède la valeur spécifiée. -
aws:ResourceTag/${TagKey}— Teste si la ressource traitée par la demande de service possède une balise associée à une clé de balise que vous spécifiez dans la politique.L'exemple de condition suivant vérifie que la ressource référencée dans la demande de service possède une balise attachée avec le nom clé « Owner » et la valeur « Dev Team ».
"Condition" : { "StringEquals" : { "aws:ResourceTag/Owner" : "Dev Team" } } -
aws:TagKeys— Spécifie les clés de balise qui doivent être utilisées pour créer ou étiqueter un partage de ressources. -
ram:AllowsExternalPrincipals— Teste si le partage des ressources dans la demande de service permet le partage avec des principaux externes. Un directeur externe est un Compte AWS externe à votre organisation dans AWS Organizations. Si c'est le casFalse, vous ne pouvez partager ce partage de ressources qu'avec les comptes de la même organisation. -
ram:PermissionArn— Teste si l'autorisation ARN spécifiée dans la demande de service correspond à une ARN chaîne que vous spécifiez dans la politique. -
ram:PermissionResourceType— Teste si l'autorisation spécifiée dans la demande de service est valide pour le type de ressource que vous spécifiez dans la politique. Spécifiez les types de ressources en utilisant le format indiqué dans la liste des types de ressources partageables. -
ram:Principal— Teste si le ARN principal spécifié dans la demande de service correspond à une ARN chaîne que vous spécifiez dans la politique. -
ram:RequestedAllowsExternalPrincipals— Teste si la demande de service inclut leallowExternalPrincipalsparamètre et si son argument correspond à la valeur que vous spécifiez dans la politique. -
ram:RequestedResourceType— Teste si le type de ressource sur laquelle on agit correspond à une chaîne de type de ressource que vous spécifiez dans la politique. Spécifiez les types de ressources en utilisant le format indiqué dans la liste des types de ressources partageables. -
ram:ResourceArn— Teste si ARN la ressource sur laquelle agit la demande de service correspond à ARN celle que vous spécifiez dans la politique. -
ram:ResourceShareName— Teste si le nom du partage de ressources concerné par la demande de service correspond à une chaîne que vous spécifiez dans la politique. -
ram:ShareOwnerAccountId— Teste que le numéro d'identification du compte du partage de ressources concerné par la demande de service correspond à une chaîne que vous spécifiez dans la politique.
