Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'une politique et d'un utilisateur IAM
Les meilleures pratiques de sécurité AWS dictent l'utilisation d'autorisations détaillées pour contrôler l'accès aux différentes ressources. Gestion des identités et des accès AWS (IAM) vous permet de gérer les utilisateurs et les autorisations des utilisateurs dans AWS. Une [stratégie IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html) répertorie explicitement les actions autorisées et les ressources sur lesquelles les actions sont applicables.
Voici les autorisations minimales généralement requises pour une application producteur et une application consommateur Kinesis Data Streams.
**Producer**
| Actions | Ressource | Objectif |
| --- | --- | --- |
| DescribeStream, DescribeStreamSummary, DescribeStreamConsumer | Flux de données Kinesis | Avant d'essayer d'écrire des enregistrements, le producteur vérifie que le flux existe et est actif, les fragments sont contenus dans le flux et le flux a un consommateur. |
| SubscribeToShard, RegisterStreamConsumer | Flux de données Kinesis | Abonner et enregistrer un consommateur à une partition de flux de données Kinesis. |
| PutRecord, PutRecords | Flux de données Kinesis | Écrire des enregistrements dans Kinesis Data Streams. |
**Consommateur**
| **Actions** | **Ressource** | **Objectif** |
| --- | --- | --- |
| DescribeStream | Flux de données Kinesis | Avant d'essayer de lire les enregistrements, l'application consommateur vérifie si le flux existe et est actif et si les partitions sont contenues dans le flux. |
| GetRecords, GetShardIterator | Flux de données Kinesis | Lire les enregistrements à partir d'une partition Kinesis Data Streams. |
| CreateTable, DescribeTable, GetItem, PutItem, Scan, UpdateItem | Table Amazon DynamoDB | Si l'application consommateur est développée à l'aide de Kinesis Client Library (KCL), elle a besoin d'autorisations d'accès à une table DynamoDB pour suivre l'état de traitement de l'application. La première application producteur démarrée crée la table. |
| DeleteItem | Table Amazon DynamoDB | Lorsque le consommateur effectue des split/merge opérations sur des partitions Kinesis Data Streams. |
| PutMetricData | CloudWatch Journal Amazon | La KCL télécharge également des métriques vers CloudWatch, ce qui est utile pour surveiller l'application. |
Pour cette application, vous créez une politique IAM ponctuelle qui accorde toutes les autorisations précédentes. En pratique, vous pouvez envisager de créer deux stratégies, une pour les applications producteur et une pour les applications consommateur.
**Pour créer une stratégie IAM**
1. Recherchez l'Amazon Resource Name (ARN) pour le nouveau flux. Vous pouvez trouver cet ARN répertorié comme **ARN du flux** en haut de l'onglet **Détails**. Le format ARN est le suivant :
```
arn:aws:kinesis:region:account:stream/name
```
*region*
Le code de la région, par exemple, `us-west-2`. Pour de plus amples informations, veuillez consulter [Concepts de régions et de zones de disponibilité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-regions-availability-zones).
*compte*
L'identifiant du AWS compte, tel qu'indiqué dans les [paramètres du compte](https://console.aws.amazon.com/billing/home?#/account).
*name*
Le nom du flux indiqué dans [Création d'un flux de données](tutorial-stock-data-kplkcl-create-stream.md), qui est `StockTradeStream`.
1. Déterminez l'ARN de la table DynamoDB à utiliser par l'application consommateur (et créée par la première instance de l'application consommateur). Il doit être au format suivant :
```
arn:aws:dynamodb:region:account:table/name
```
La région et le compte proviennent du même endroit qu'à l'étape précédente, mais cette fois le *nom* est le nom de la table créée et utilisée par l'application consommateur. La KCL utilisée par l'application consommateur utilise le nom de l'application comme nom de table. Utilisez `StockTradesProcessor`, qui est le nom d'application utilisé plus tard.
1. Dans la console IAM, dans **Policies** ([https://console.aws.amazon.com/iam/home \$1policies](https://console.aws.amazon.com/iam/home#policies)), choisissez **Create policy**. Si c'est la première fois que vous utilisez des politiques IAM, choisissez **Mise en route**, **Création d'une politique**.
1. Choisissez **Sélectionner** à côté de **Policy Generator (Générateur de stratégies)**.
1. Choisissez **Amazon Kinesis** comme service. AWS
1. Sélectionnez `DescribeStream`, `GetShardIterator`, `GetRecords`, `PutRecord` et `PutRecords` comme actions autorisées.
1. Indiquez l'ARN que vous avez créé à l'étape 1.
1. Utilisez **Ajouter une instruction** pour chacune des propositions suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/streams/latest/dev/tutorial-stock-data-kplkcl-iam.html)
L'astérisque (`*`) est utilisé pour spécifier que l'ARN n'est pas obligatoire. Dans ce cas, c'est parce qu'il n'existe aucune ressource spécifique CloudWatch sur laquelle l'`PutMetricData`action est invoquée.
1. Choisissez **Étape suivante**.
1. Remplacez le **Nom de la stratégie** par `StockTradeStreamPolicy`, vérifiez le code et choisissez **Create Policy (Créer stratégie)**.
Le document de stratégie obtenu doit ressembler à ce qui suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt123",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:PutRecord",
"kinesis:PutRecords",
"kinesis:GetShardIterator",
"kinesis:GetRecords",
"kinesis:ListShards",
"kinesis:DescribeStreamSummary",
"kinesis:RegisterStreamConsumer"
],
"Resource": [
"arn:aws:kinesis:us-west-2:111122223333:stream/StockTradeStream"
]
},
{
"Sid": "Stmt234",
"Effect": "Allow",
"Action": [
"kinesis:SubscribeToShard",
"kinesis:DescribeStreamConsumer"
],
"Resource": [
"arn:aws:kinesis:us-west-2:111122223333:stream/StockTradeStream/*"
]
},
{
"Sid": "Stmt456",
"Effect": "Allow",
"Action": [
"dynamodb:*"
],
"Resource": [
"arn:aws:dynamodb:us-west-2:111122223333:table/StockTradesProcessor"
]
},
{
"Sid": "Stmt789",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
}
]
}
```
------
**Pour créer un utilisateur IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sur la page **Users (Utilisateurs)**, choisissez **Add user (Ajouter un utilisateur)**.
1. Pour **Nom d’utilisateur**, saisissez `StockTradeStreamUser`.
1. Pour **Access type (Type d'accès)**, choisissez **Programmatic access (Accès programmatique)**, puis **Next: Permissions (Suivant : permissions)**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Recherchez par nom la stratégie que vous avez créée. Cochez la case à gauche du nom de la stratégie, puis choisissez **Next: Review (Suivant : réviser)**.
1. Vérifiez les détails et le récapitulatif, puis choisissez **Create user (Créer utilisateur)**.
1. Copiez **l'ID de clé d'accès** et enregistrez-le en privé. Sous **Clé d'accès secrète**, choisissez **Afficher** et enregistrez également cette clé en privé.
1. Collez les clés d'accès et secrètes dans un fichier local dans un emplacement sûr auquel vous êtes le seul à pouvoir accéder. Pour cette application, créez un fichier nommé ` ~/.aws/credentials` (avec des autorisations strictes). Le fichier doit être au format suivant :
```
[default]
aws_access_key_id=access key
aws_secret_access_key=secret access key
```
**Attribution d'une politique IAM à un utilisateur**
1. Dans la console IAM, ouvrez [Politiques](https://console.aws.amazon.com/iam/home?#policies) et choisissez **Actions de politique**.
1. Choisissez `StockTradeStreamPolicy` et **Attacher**.
1. Choisissez `StockTradeStreamUser` et **Attacher la stratégie**.
## Étapes suivantes
[Téléchargez et compilez le code d'implémentation](tutorial-stock-data-kplkcl-download.md)