Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Firewall Manager
AWS Firewall Manager (préfixe de service :fms) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Firewall Manager
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateAdminAccount | Accorde l'autorisation de définir le compte administrateur de AWS Firewall Manager et active le service dans tous les comptes de l'organisation | Écrire | |||
| AssociateThirdPartyFirewall | Accorde l'autorisation de définir l'administrateur Firewall Manager en tant qu'administrateur locataire d'un service de pare-feu tiers | Écrire | |||
| BatchAssociateResource | Accorde l'autorisation d'associer des ressources à un ensemble de ressources AWS Firewall Manager | Écrire | |||
| BatchDisassociateResource | Accorde l'autorisation de dissocier les ressources d'un ensemble de ressources AWS Firewall Manager | Écrire | |||
| DeleteAppsList | Accorde l'autorisation de supprimer définitivement une liste d'applications AWS Firewall Manager | Écrire | |||
| DeleteNotificationChannel | Accorde l'autorisation de supprimer une association AWS Firewall Manager avec le rôle IAM et la rubrique Amazon Simple Notification Service (SNS) utilisée pour informer l'administrateur FM des principaux événements et erreurs FM au sein de l'organisation | Écrire | |||
| DeletePolicy | Accorde l'autorisation de supprimer définitivement une politique de AWS Firewall Manager | Écrire | |||
| DeleteProtocolsList | Accorde l'autorisation de supprimer définitivement une liste de protocoles AWS Firewall Manager | Écrire | |||
| DeleteResourceSet | Accorde l'autorisation de supprimer définitivement un ensemble de ressources AWS Firewall Manager | Écrire | |||
| DisassociateAdminAccount | Accorde l'autorisation de dissocier le compte défini comme compte administrateur de AWS Firewall Manager et désactive le service dans tous les comptes de l'organisation | Écrire | |||
| DisassociateThirdPartyFirewall | Accorde l'autorisation de dissocier un administrateur Firewall Manager d'un locataire de pare-feu tiers | Écrire | |||
| GetAdminAccount | Accorde l'autorisation de renvoyer le compte AWS Organizations associé à AWS Firewall Manager en tant qu'administrateur de AWS Firewall Manager | Lecture | |||
| GetAdminScope | Accorde l'autorisation de renvoyer des informations sur la portée administrative du compte spécifié | Lecture | |||
| GetAppsList | Accorde l'autorisation de renvoyer des informations sur la liste d'applications AWS Firewall Manager spécifiée | Lecture | |||
| GetComplianceDetail | Accorde l'autorisation de récupérer des informations détaillées de conformité sur le compte de membre spécifié Ces informations détaillées incluent les ressources conformes et non conformes à la politique spécifiée. | Lecture | |||
| GetNotificationChannel | Accorde l'autorisation de récupérer des informations relatives à la rubrique Amazon Simple Notification Service (SNS) utilisée pour enregistrer les journaux SNS de Firewall Manager AWS | Lecture | |||
| GetPolicy | Accorde l'autorisation de récupérer des informations relatives à la politique de AWS Firewall Manager spécifiée | Lecture | |||
| GetProtectionStatus | Permet de récupérer les informations récapitulatives des attaques au niveau des politiques en cas d'attaque DDo S potentielle | Lecture | |||
| GetProtocolsList | Accorde l'autorisation de renvoyer des informations sur la liste de protocoles AWS Firewall Manager spécifiée | Lecture | |||
| GetResourceSet | Accorde l'autorisation de récupérer des informations sur le jeu de ressources AWS Firewall Manager spécifié | Lecture | |||
| GetThirdPartyFirewallAssociationStatus | Accorde l'autorisation de récupérer le statut d'onboarding d'un compte administrateur Firewall Manager au locataire d'un fournisseur de pare-feu tiers | Lecture | |||
| GetViolationDetails | Accorde l'autorisation de récupérer les violations pour une ressource en fonction de la politique de AWS Firewall Manager spécifiée et Compte AWS | Lecture | |||
| ListAdminAccountsForOrganization | Accorde l'autorisation de renvoyer un AdminAccounts objet répertoriant les administrateurs de Firewall Manager au sein de l'organisation qui ont été intégrés à Firewall Manager par AssociateAdminAccount | Liste | |||
| ListAdminsManagingAccount | Accorde l'autorisation de répertorier les comptes qui gèrent le compte membre AWS d'Organizations spécifié | Liste | |||
| ListAppsLists | Accorde l'autorisation de renvoyer un tableau d' AppsListDataSummary objets | Liste | |||
| ListComplianceStatus | Accorde l'autorisation de récupérer un tableau d' PolicyComplianceStatus objets dans la réponse. PolicyComplianceStatus À utiliser pour obtenir un résumé des comptes de membres protégés par la politique spécifiée | Liste | |||
| ListDiscoveredResources | Accorde l'autorisation de récupérer un tableau de ressources dans les comptes de l'organisation pouvant être associées à un ensemble de ressources | Liste | |||
| ListMemberAccounts | Accorde l'autorisation de récupérer un tableau d'ID de compte membre si le mandataire est le compte d'administrateur FMS | Liste | |||
| ListPolicies | Accorde l'autorisation de récupérer un tableau d' PolicySummary objets dans la réponse | Liste | |||
| ListProtocolsLists | Accorde l'autorisation de renvoyer un tableau d' ProtocolsListDataSummary objets | Liste | |||
| ListResourceSetResources | Accorde l'autorisation de récupérer un tableau de ressources associées à un ensemble de ressources | Liste | |||
| ListResourceSets | Accorde l'autorisation de récupérer un tableau d' ResourceSetSummary objets | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises d'une ressource donnée | Lecture | |||
| ListThirdPartyFirewallFirewallPolicies | Accorde l'autorisation de récupérer une liste de toutes les politiques de pare-feu tiers associées au compte de l'administrateur du pare-feu tiers | Liste | |||
| PutAdminAccount | Accorde l'autorisation de créer ou de mettre à jour un compte administrateur de Firewall Manager | Écrire | |||
| PutAppsList | Accorde l'autorisation de créer une liste d'applications AWS Firewall Manager | Écrire | |||
| PutNotificationChannel | Accorde l'autorisation de désigner le rôle IAM et la rubrique Amazon Simple Notification Service (SNS) que AWS Firewall Manager (FM) pourrait utiliser pour informer l'administrateur FM des principaux événements et erreurs FM survenus au sein de l'organisation | Écrire | |||
| PutPolicy | Accorde l'autorisation de créer une politique AWS Firewall Manager | Écrire | |||
| PutProtocolsList | Accorde l'autorisation de créer une liste de protocoles AWS Firewall Manager | Écrire | |||
| PutResourceSet | Accorde l'autorisation de créer un ensemble de ressources AWS Firewall Manager | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter une balise à une ressource donnée | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une balise d'une ressource donnée | Balisage | |||
Types de ressources définis par AWS Firewall Manager
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| policy |
arn:${Partition}:fms:${Region}:${Account}:policy/${Id}
|
|
| applications-list |
arn:${Partition}:fms:${Region}:${Account}:applications-list/${Id}
|
|
| protocols-list |
arn:${Partition}:fms:${Region}:${Account}:protocols-list/${Id}
|
|
| resource-set |
arn:${Partition}:fms:${Region}:${Account}:resource-set/${Id}
|
Clés de condition pour AWS Firewall Manager
AWS Firewall Manager définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la requête | ArrayOfString |
