Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Pour fournir un accès, un administrateur de compte peut ajouter des autorisations aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services (tels que AWS Lambda) prennent également en charge l'ajout d'autorisations aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez les IAMmeilleures pratiques dans le guide de IAM l'utilisateur.
Rubriques
IAMRessources et opérations de l'Identity Center
Dans IAM Identity Center, les ressources principales sont les instances d'applications, les profils et les ensembles d'autorisations.
Présentation de la propriété des ressources
Le propriétaire d'une ressource est celui Compte AWS qui a créé une ressource. En d'autres termes, le propriétaire Compte AWS de la ressource est l'entité principale (le compte, un utilisateur ou un IAM rôle) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si le Utilisateur racine d'un compte AWS crée une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations, vous Compte AWS êtes le propriétaire de cette ressource.
-
Si vous créez un utilisateur dans votre AWS compte et que vous lui accordez l'autorisation de créer des ressources IAM Identity Center, l'utilisateur peut alors créer des ressources IAM Identity Center. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des ressources.
-
Si vous créez un IAM rôle dans votre AWS compte avec les autorisations nécessaires pour créer des ressources IAM Identity Center, toute personne pouvant assumer ce rôle peut créer des ressources IAM Identity Center. C'est à vous Compte AWS, à qui appartient le rôle, que vous êtes propriétaire des ressources de l'IAMIdentity Center.
Gestion de l’accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section traite de l'utilisation IAM dans le contexte d'IAMIdentity Center. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux AWS IAM politiques dans le Guide de IAM l'utilisateur.
Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les politiques qui sont attachées à une ressource sont appelées politiques basées sur la ressource. IAMIdentity Center prend uniquement en charge les politiques basées sur l'identité (IAMpolitiques).
Politiques basées sur l'identité (politiques) IAM
Vous pouvez ajouter des autorisations aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :
-
Associez une politique d'autorisations à un utilisateur ou à un groupe de votre compte Compte AWS : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à ajouter une ressource IAM Identity Center, telle qu'une nouvelle application.
-
Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes.
Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le Guide de IAM l'utilisateur.
La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par List
. Ces actions affichent des informations sur une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations. Notez que le caractère générique (*) dans l'Resource
élément indique que les actions sont autorisées pour toutes les ressources IAM Identity Center détenues par le compte.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ] }
Pour plus d'informations sur l'utilisation de politiques basées sur l'IAMidentité avec Identity Center, consultez. Exemples de politiques basées sur l'identité pour IAM Identity Center Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.
Politiques basées sur les ressources
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. IAMIdentity Center ne prend pas en charge les politiques basées sur les ressources.
Spécification des éléments de politique : actions, effets, ressources et principes
Pour chaque ressource IAM Identity Center (voirIAMRessources et opérations de l'Identity Center), le service définit un ensemble d'APIopérations. Pour accorder des autorisations pour ces API opérations, IAM Identity Center définit un ensemble d'actions que vous pouvez spécifier dans une politique. Notez que l'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.
Voici les éléments de base d’une politique :
-
Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique.
-
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'
sso:DescribePermissionsPolicies
autorisation autorise l'utilisateur à effectuer l'DescribePermissionsPolicies
opération IAM Identity Center. -
Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
-
Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). IAMIdentity Center ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux AWS IAM politiques dans le Guide de IAM l'utilisateur.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions qui doivent être remplies pour qu'une stratégie prenne effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à IAM Identity Center. Cependant, il existe des clés de AWS condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, consultez la section Clés de condition globales disponibles dans le guide de IAM l'utilisateur.