Présentation de l'autorisation et du contrôle d'accès Autorisations nécessaires Comment AWS RoboMaker fonctionne avec IAM Résolution des problèmes d'authentification et de contrôle d'accès

Avis de fin de support : le 10 septembre 2025, AWS le support de AWS RoboMaker. Après le 10 septembre 2025, vous ne pourrez plus accéder à la AWS RoboMaker console ni aux AWS RoboMaker ressources. Pour plus d'informations sur la transition AWS Batch afin de faciliter l'exécution de simulations conteneurisées, consultez ce billet de blog.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et contrôle d'accès pour AWS RoboMaker

AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS RoboMaker ressources. Les administrateurs contrôlent qui est authentifié (connecté) et autorisé (autorisé) à utiliser les AWS RoboMaker ressources. IAM IAMest une fonctionnalité de votre AWS compte proposée sans frais supplémentaires.

Important

Pour démarrer rapidement, consultez les informations d'introduction de cette page, puis consultezCommencer avec IAM, etQue sont les politiques ?.

Rubriques

Présentation de l'autorisation et du contrôle d'accès
Autorisations nécessaires
Comprendre comment AWS RoboMaker fonctionne avec IAM
Résolution des problèmes d'authentification et de contrôle d'accès

Présentation de l'autorisation et du contrôle d'accès

AWS RoboMaker est intégré à AWS Identity and Access Management (IAM), qui offre un large éventail de fonctionnalités :

Créez des utilisateurs et des groupes dans votre Compte AWS.
Partagez facilement vos AWS ressources entre les utilisateurs de votre Compte AWS.
Attribuez des informations de sécurité uniques à chaque utilisateur.
Contrôlez l'accès de chaque utilisateur aux services et aux ressources.
Obtenez une facture unique pour tous les utilisateurs de votre Compte AWS.

Pour plus d'informations surIAM, consultez les rubriques suivantes :

Autorisations nécessaires

Pour utiliser AWS RoboMaker ou gérer les autorisations et le contrôle d'accès pour vous-même ou pour d'autres personnes, vous devez disposer des autorisations appropriées.

Autorisations requises pour utiliser la console AWS RoboMaker

Pour accéder à la AWS RoboMaker console, vous devez disposer d'un ensemble minimal d'autorisations vous permettant de répertorier et d'afficher les détails AWS RoboMaker des ressources de votre AWS compte. Si vous créez une stratégie d'autorisation basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette stratégie.

Pour un accès en lecture seule à la AWS RoboMaker console, utilisez la AWSRoboMakerReadOnlyAccesspolitique.

Si un IAM utilisateur souhaite créer une tâche de simulation, vous devez lui accorder une iam:PassRole autorisation. Pour plus d'informations sur le transfert d'un rôle, consultez la section Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service.

Par exemple, vous pouvez associer la stratégie suivante à un utilisateur. Elle fournit l'autorisation de créer une tâche de simulation :



 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess"
        }
    ]
}

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement vers le AWS CLI ou le AWS API. Au lieu de cela, vous n'avez besoin que des autorisations correspondant à l'APIopération que vous essayez d'effectuer.

Autorisations requises pour visualiser les mondes AWS RoboMaker dans la console

Vous pouvez accorder les autorisations requises pour visualiser AWS RoboMaker des mondes dans la AWS RoboMaker console en attachant la politique suivante à un utilisateur :



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "robomaker: DescribeWorld"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Autorisations requises pour utiliser les outils AWS RoboMaker de simulation

L'IAMutilisateur ou le rôle utilisé pour créer une simulation sera automatiquement autorisé à accéder aux outils de simulation. S'il s'agit d'un autre utilisateur ou rôle, il doit disposer du privilège robomaker:CreateSimulationJob.

Autorisations requises pour la gestion d'authentification

Pour gérer vos propres informations d'identification, telles que votre mot de passe, vos clés d'accès et vos appareils d'authentification multifactorielle (MFA), votre administrateur doit vous accorder les autorisations requises. Pour consulter la stratégie sous-tendant ces autorisations, consultez Permettre aux utilisateurs de gérer eux-mêmes leurs informations d'identification.

En tant qu' AWS administrateur, vous avez besoin d'un accès complet pour IAM pouvoir créer et gérer des utilisateurs, des groupes, des rôles et des politiques dansIAM. Vous devez utiliser la politique AdministratorAccess AWS gérée qui inclut un accès complet à tous AWS. Cette politique ne fournit pas l'accès à la AWS Billing and Cost Management console et n'autorise pas les tâches qui nécessitent des informations d'identification de l'utilisateur root. Pour plus d'informations, consultez la section AWS Tâches nécessitant les informations d'identification de l'utilisateur Compte AWS root dans le Références générales AWS.

Avertissement

Seul un utilisateur administrateur doit avoir un accès complet à AWS. Toute personne utilisant cette stratégie est autorisée à gérer l'ensemble du processus d'authentification et de contrôle d'accès, en plus de pouvoir modifier toutes les ressources nécessaires dans AWS. Pour savoir comment créer cet utilisateur, consultez Créez votre utilisateur IAM Admin.

Autorisations requises pour le contrôle d'accès

Si votre administrateur vous a fourni des informations IAM d'identification utilisateur, il a associé des politiques à votre IAM utilisateur pour contrôler les ressources auxquelles vous pouvez accéder. Pour consulter les politiques associées à votre utilisateur dans le AWS Management Console, vous devez disposer des autorisations suivantes :



   {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Si vous avez besoin d'autorisations supplémentaires, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder aux actions nécessaires.

Autorisations requises pour une tâche de simulation

Lorsque vous créez une tâche de simulation, elle doit avoir un IAM rôle avec les autorisations ci-dessous.

Remplacez amzn-s3-demo-source-bucket par le nom du compartiment contenant les solutions groupées d'applications robotique et de simulation.
Remplacez amzn-s3-demo-destination-bucket pour pointer vers le compartiment dans lequel les fichiers de sortie AWS RoboMaker seront écrits.
Remplacez account# par votre numéro de compte.

Les ECR tâches publiques nécessitent des autorisations distinctes, telles que ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, et toute autre autorisation requise pour votre mise en œuvre finale. Pour plus d'informations, consultez les politiques relatives aux référentiels publics dans le guide de ECR l'utilisateur Amazon.

Jobs with Private ECR images



  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:ListBucket",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "s3:Put*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetAuthorizationToken",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:partition:ecr:region:account#:repository/repository_name",
            "Effect": "Allow"
        }
    ]
}

Jobs with Public ECR images



  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:ListBucket",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": "s3:Put*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecr-public:GetAuthorizationToken",
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

La politique doit être attachée à un rôle doté de la politique de confiance suivante.



{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "Service": "robomaker.amazonaws.com" },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "account#" // Account where the simulation job resource is created
            },
            "StringEquals": {
                "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
            }
        }
    }
}

Les clés de condition empêchent qu'un AWS service soit utilisé comme un adjoint confus lors de transactions entre services. Consultez SourceAccountet SourceArnpour plus d'informations sur les clés de condition.

Autorisations requises pour utiliser les balises depuis une ROS application ou une ligne de ROS commande

Vous pouvez baliser, débaliser et répertorier les balises dans votre tâche de simulation à partir de la ROS ligne de commande ou dans votre ROS application pendant son exécution. Vous devez avoir un IAM rôle avec les autorisations ci-dessous. Remplacez account# par votre numéro de compte.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "robomaker:TagResource",
                "robomaker:UntagResource",
                "robomaker:ListTagsForResource",
            ],
            "Resource": [
                "arn:aws:robomaker:*:account#:simulation-job*"
            ],
            "Effect": "Allow"
        }
    ]
}

La stratégie doit être attachée à un rôle avec la stratégie d'approbation suivante :



{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "Service": "robomaker.amazonaws.com" },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "account#" // Account where the simulation job resource is created
            },
            "StringEquals": {
                "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
            }
        }
    }
}

Comprendre comment AWS RoboMaker fonctionne avec IAM

Les services peuvent fonctionner IAM de plusieurs manières :

Actions : AWS RoboMaker permet d'utiliser des actions dans une politique. Cela permet à un administrateur de contrôler si une entité peut effectuer une opération dans AWS RoboMaker. Par exemple, pour permettre à une entité de consulter une politique en effectuant l'GetPolicy AWS APIopération, un administrateur doit joindre une politique autorisant l'iam:GetPolicyaction.
Autorisations au niveau des ressources : AWS RoboMaker ne prend pas en charge les autorisations au niveau des ressources. Les autorisations au niveau des ressources vous permettent de spécifier ARNsdes ressources individuelles dans la politique. Étant donné que cette fonctionnalité AWS RoboMaker n'est pas prise en charge, vous devez sélectionner Toutes les ressources dans l'éditeur visuel des politiques. Dans un document JSON de politique, vous devez utiliser l'Resourceélément * in.
Autorisation basée sur les balises : AWS RoboMaker prend en charge les balises basées sur l'autorisation. Cette fonction vous permet d'utiliser des balises de ressource dans la condition d'une stratégie.
Informations d'identification temporaires : AWS RoboMaker prend en charge les informations d'identification temporaires. Cette fonctionnalité vous permet de vous connecter via la fédération, d'assumer un IAM rôle ou d'assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.
Rôles liés au service : AWS RoboMaker prend en charge les rôles de service. Cette fonction permet à un service d'endosser un rôle lié à un service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.
Rôles de service : AWS RoboMaker prend en charge les rôles de service. Cette fonctionnalité permet à un service d’endosser un rôle de service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, cela peut perturber le bon fonctionnement du service.

Résolution des problèmes d'authentification et de contrôle d'accès

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pourriez rencontrer lors de votre utilisationIAM.

Rubriques

Je ne suis pas autorisé à effectuer une action dans AWS RoboMaker
Je suis administrateur et je souhaite autoriser d'autres personnes à accéder AWS RoboMaker

Je ne suis pas autorisé à effectuer une action dans AWS RoboMaker

Si vous recevez un message d'erreur AWS Management Console indiquant que vous n'êtes pas autorisé à effectuer une action, vous devez contacter l'administrateur qui vous a fourni votre nom d'utilisateur et votre mot de passe.

L'exemple d'erreur suivant se produit lorsqu'un IAM utilisateur nommé my-user-name essaie d'utiliser la console pour effectuer l' CreateRobotApplication action, mais ne dispose pas des autorisations nécessaires.


User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-robomaker:CreateRobotApplication on resource: my-example-robot-application

Pour cet exemple, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder à la ressource my-example-robot-application à l'aide de l'action aws-robomaker:CreateRobotApplication.

Je suis administrateur et je souhaite autoriser d'autres personnes à accéder AWS RoboMaker

Pour autoriser d'autres personnes à accéder, AWS RoboMaker vous devez créer une IAM entité (utilisateur ou rôle) pour la personne ou l'application qui a besoin d'un accès. Ils utiliseront les informations d’identification de cette entité pour accéder à AWS. Vous devez ensuite associer une politique à l'entité qui leur accorde les autorisations appropriées dans AWS RoboMaker.

Pour démarrer immédiatement, consultez Commencer avec IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données

Que sont les politiques ?