Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche - Explorateur de ressources AWS
Utiliser l'autorisation basée sur des balises pour contrôler l'accès à vos vues

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche

Avant que les utilisateurs puissent effectuer une recherche avec une nouvelle vue, vous devez octroyer l'accès auxExplorateur de ressources AWS vues. Pour ce faire, utilisez une politique d'autorisation basée sur l'identité pour les principaux utilisateursAWS Identity and Access Management (IAM) qui doivent effectuer des recherches avec la vue.

Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Vous pouvez utiliser l'une des méthodes suivantes :

  • Utilisez une politiqueAWS gérée existante. L'Explorateur de ressources fournit plusieurs politiquesAWS gérées prédéfinies que vous pouvez utiliser. Pour plus de détails sur toutes les politiquesAWS gérées disponibles, consultezAWS politiques gérées pour Explorateur de ressources AWS.

    Par exemple, vous pouvez utiliser cetteAWSResourceExplorerReadOnlyAccess politique pour accorder des autorisations de recherche à toutes les vues du compte.

  • Créez votre propre politique d'autorisation et attribuez-la aux responsables. Si vous créez votre propre politique, vous pouvez restreindre l'accès à une seule vue ou à un sous-ensemble des vues disponibles en spécifiant le nom de ressource Amazon (ARN) de chaque vue dans l'Resourceélément de la déclaration de politique. Par exemple, vous pouvez utiliser l'exemple de politique suivant pour autoriser ce principal à effectuer une recherche en utilisant uniquement cette vue.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}

    Utilisez la console IAM pour créer les politiques d'autorisation et les utiliser avec les principaux utilisateurs qui ont besoin de ces autorisations. Pour plus d'informations sur les stratégies d'autorisation IAM, consultez les rubriques suivantes :

Utiliser l'autorisation basée sur des balises pour contrôler l'accès à vos vues

Si vous choisissez de créer plusieurs vues avec des filtres qui renvoient des résultats uniquement avec certaines ressources, vous souhaiterez peut-être également restreindre l'accès à ces vues aux seules personnes qui ont besoin de consulter ces ressources. Vous pouvez fournir ce type de sécurité pour les vues de votre compte en utilisant une stratégie de contrôle d'accès basé sur les attributs (ABAC). Les attributs utilisés par ABAC sont les balises attachées à la fois aux principaux tentant d'effectuer des opérationsAWS et aux ressources auxquelles ils tentent d'accéder.

ABAC utilise des politiques d'autorisation IAM standard associées aux principes. Les politiques utilisentCondition des éléments contenus dans les déclarations de politique pour autoriser l'accès uniquement lorsque les balises attachées au principal demandeur et les balises attachées à la ressource affectée répondent aux exigences de la politique.

Par exemple, vous pouvez associer une étiquette"Environment" = "Production" à toutes lesAWS ressources qui prennent en charge l'application de production de votre entreprise. Pour vous assurer que seules les personnes autorisées à accéder à l'environnement de production peuvent accéder à ces ressources, créez une vue de l'Explorateur de ressources qui utilise cette balise comme filtre. Ensuite, pour restreindre l'accès à la vue aux seules personnes principales appropriées, vous accordez des autorisations à l'aide d'une politique assortie d'une condition similaire aux exemples d'éléments suivants.

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

ConditionDans l'exemple précédent, cela indique que la demande n'est autorisée que si laEnvironment balise attachée au principal auteur de la demande correspond à laEnvironment balise attachée à la ressource spécifiée dans la demande. Si ces deux balises ne correspondent pas exactement, ou si l'une des balises est manquante, l'Explorateur de ressources refuse la demande.

Important

Pour utiliser ABAC avec succès afin de sécuriser l'accès à vos ressources, vous devez d'abord restreindre l'accès à la possibilité d'ajouter ou de modifier les balises associées à vos principaux et ressources. Si un utilisateur peut ajouter ou modifier les balises attachées à unAWS principal ou à une ressource, il peut affecter les autorisations contrôlées par ces balises. Dans un environnement ABAC sécurisé, seuls les administrateurs de sécurité agréés sont autorisés à ajouter ou à modifier les balises attachées aux principaux, et seuls les administrateurs de sécurité et les propriétaires de ressources peuvent ajouter ou modifier les balises associées aux ressources.

Pour plus d'informations sur la façon de mettre en œuvre avec succès une stratégie ABAC, consultez les rubriques suivantes dans le Guide de l'utilisateur IAM :

Une fois que vous avez mis en place l'infrastructure ABAC nécessaire, vous pouvez utiliser les balises pour contrôler qui peut effectuer des recherches à l'aide des vues de l'Explorateur de ressources de votre compte. Pour des stratégies illustrant le principe, consultez les exemples de stratégies d'autorisation suivants :