Identity and Access Management pour Service Quotas - Service Quotas

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identity and Access Management pour Service Quotas

AWS utilise les informations d'identification de sécurité pour identifier et vous accorder l'accès à vos ressources AWS. Vous pouvez utiliser les fonctionnalités deAWS Identity and Access Management(IAM) pour permettre aux autres utilisateurs, services et applications d'utiliser votreAWSressources intégralement ou de manière limitée. Vous pouvez le faire sans partager vos informations d'identification de sécurité.

Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier les ressources AWS. Pour permettre à un utilisateur IAM d'accéder à des ressources, telles qu'un équilibreur de charge, et d'effectuer des tâches, procédez comme suit :

  1. Créez une stratégie IAM qui accorde à l'utilisateur IAM l'autorisation d'utiliser les actions d'API et les ressources spécifiques dont il a besoin.

  2. Attachez la stratégie à l'utilisateur IAM ou au groupe auquel cet utilisateur IAM appartient.

Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Par exemple, vous pouvez utiliser IAM pour créer des utilisateurs et des groupes sous votreCompte AWS. Un utilisateur IAM peut être une personne, un système ou une application. Vous utilisez ensuite une stratégie IAM pour accorder aux utilisateurs et aux groupes des autorisations pour effectuer des actions spécifiques sur les ressources spécifiées.

Attribution des autorisations en utilisant les stratégies IAM

Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.

Une politique IAM est un document JSON qui se compose d'une ou de plusieurs déclarations. Chaque instruction est structurée comme illustré dans l'exemple suivant.

{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
  • Effect— La valeur deeffectPeut être l'un ou l'AllowouDeny. Comme, par défaut, les utilisateurs IAM n'ont pas la permission d'utiliser les ressources et les actions d'API, toutes les demandes sont refusées. Une autorisation explicite remplace l'autorisation par défaut. Un refus explicite remplace toute autorisation.

  • Action— La valeur deactiondésigne l'action d'API spécifique pour laquelle vous accordez ou refusez l'autorisation. Pour plus d'informations sur la spécificationAction, voirActions d'API pour les Service Quotas.

  • Resource— Resource affectée par l'action. Certaines actions d'API Service Quotas permettent de limiter les autorisations accordées ou refusées à un quota spécifique. Pour ce faire, spécifiez son Amazon Resource Name (ARN) dans cette instruction. Sinon, vous pouvez utiliser le caractère générique (*) pour spécifier toutes les ressources Service Quotas. Pour plus d'informations, consultez Ressources Service Quotas.

  • Condition— Vous pouvez éventuellement utiliser des conditions pour contrôler à quel moment votre stratégie est effective. Pour plus d'informations, consultez Clés de condition pour Service Quotas.

Pour plus d'informations, consultez le Guide de l'utilisateur IAM.

Actions d'API pour les Service Quotas

DansActiondans votre déclaration de stratégie IAM, vous pouvez spécifier une action d'API offerte par Service Quotas. Vous devez faire précéder le nom de l'action de la chaîne en lettres minuscules servicequotas:, comme illustré dans l'exemple suivant.

"Action": "servicequotas:GetServiceQuota"

Pour spécifier plusieurs actions dans une même instruction, placez-les entre crochets et séparez-les par une virgule, comme dans l'exemple suivant.

"Action": [ "servicequotas:ListRequestedServiceQuotaChangeHistory", "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota" ]

Vous pouvez aussi spécifier plusieurs actions en utilisant le caractère générique (*). L'exemple suivant spécifie tous les noms d'action d'API pour les Quotas de service commençant parGet.

"Action": "servicequotas:Get*"

Pour spécifier toutes les actions d'API pour Service Quotas, utilisez le caractère générique (*), comme illustré dans l'exemple suivant.

"Action": "servicequotas:*"

Pour obtenir la liste des actions API pour Service Quotas, consultez.Actions Service Quotas.

Ressources Service Quotas

Les autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Pour les actions d'API qui prennent en charge les autorisations au niveau des ressources, vous pouvez contrôler les ressources que les utilisateurs sont autorisés à utiliser avec l'action. Pour spécifier une ressource dans une déclaration de stratégie, vous devez utiliser son Amazon Resource Name (ARN).

L'ARN d'un quota présente le format indiqué dans l'exemple suivant.

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

Pour les actions d'API qui ne prennent pas en charge les autorisations au niveau des ressources, vous devez spécifier l'instruction de ressource indiquée dans l'exemple suivant.

"Resource": "*"

Autorisations de niveau ressource pour Service Quotas

Les actions Service Quotas suivantes prennent en charge les autorisations au niveau des ressources :

Pour de plus amples informations, veuillez consulterActions définies par Service Quotasdans leRéférence de l'autorisation de service.

Clés de condition pour Service Quotas

Lorsque vous créez une stratégie, vous pouvez spécifier les conditions qui définissent le moment auquel la stratégie prend effet. Chaque condition contient une ou plusieurs paires clé-valeur. Il existe des clés de condition globales et des clés de condition spécifiques à un service.

Leservicequotas:serviceest spécifique aux Service Quotas. Les actions de l'API Service Quotas suivantes prennent en charge cette clé :

Pour de plus amples informations sur les clés de condition globales, consultez.AWSClés de contexte de condition globaledans leIAM User Guide.

PrédéfiniAWSstratégies gérées pour les Service Quotas

Les stratégies gérées créées par AWS octroient les autorisations requises pour les cas d'utilisation courants. Vous pouvez attacher ces stratégies à vos utilisateurs IAM, en fonction de l'accès aux Service Quotas dont ils ont besoin :

  • ServiceQuotasFullAccess— Attribue l'accès complet requis pour utiliser les fonctions Service Quotas.

  • ServiceQuotasReadOnlyAccess— Attribue l'accès en lecture seule aux fonctions Service Quotas.