Permissions management (Gestion des autorisations)

Gérez les autorisations des identités humaines et machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès. Définissez des autorisations sur des identités humaines et machine spécifiques pour accorder l'accès à des actions de service spécifiques sur des ressources spécifiques. En outre, spécifiez les conditions qui doivent être remplies pour que l'accès soit accordé. Par exemple, vous pouvez autoriser les développeurs à créer de nouvelles fonctions Lambda, mais uniquement dans une région spécifique. Lorsque vous gérez vos environnements AWS à grande échelle, respectez les bonnes pratiques suivantes pour vous assurer que les identités ont uniquement l'accès dont elles ont besoin et rien de plus.

Il existe plusieurs façons d'accorder l'accès à différents types de ressources. L'une d'entre elles consiste à utiliser différents types de politiques.

Les politiques basées sur l'identité dans IAM sont gérées ou en ligne, et s'attachent aux identités IAM, y compris les utilisateurs, les groupes ou les rôles. Ces politiques vous permettent de spécifier ce que cette identité peut faire (ses autorisations). Les politiques basées sur l'identité peuvent être catégorisées davantage.

Politiques gérées – Politiques autonomes basées sur l'identité que vous pouvez attacher à plusieurs utilisateurs, groupes et rôles dans votre compte AWS. Il existe deux types de politiques gérées :

Politiques gérées par AWS – Politiques gérées qui sont créées et gérées par AWS.
Politiques gérées par le client – Politiques gérées que vous créez et gérez dans votre compte AWS. Les politiques gérées par le client offrent un contrôle plus précis de vos politiques que les politiques gérées par AWS.

Les politiques gérées sont la méthode privilégiée pour appliquer les autorisations. Cependant, vous pouvez également utiliser des politiques intégrées que vous ajoutez directement à un seul utilisateur, groupe ou rôle. Les politiques intégrées associent une politique spécifique à une identité. Elles sont éliminées lorsque vous supprimez l'identité.

Dans la plupart des cas, vous devez créer vos propres politiques gérées par le client en suivant le principe du moindre privilège.

Les politiques basées sur les ressources sont associées à une ressource. Par exemple, une politique de compartiment S3 est une politique basée sur les ressources. Ces politiques accordent une autorisation à un mandataire qui peut se trouver dans le même compte que la ressource ou dans un autre compte. Pour obtenir une liste des services qui prennent en charge les politiques basées sur des ressources, consultez Services AWS qui fonctionnent avec IAM.

Les limites d'autorisation utilisent une politique gérée pour définir les autorisations maximales qu'un administrateur peut définir. Cela vous permet de déléguer aux développeurs la possibilité de créer et de gérer des autorisations, comme la création d'un rôle IAM, mais de limiter les autorisations qu'ils peuvent accorder afin qu'ils ne puissent pas faire remonter leur privilège grâce à ce qu'ils ont créé.

Le Contrôle d'accès basé sur les attributs (ABAC) vous permet d'accorder des autorisations en fonction des attributs. Dans AWS, on les appelle des balises. Les balises peuvent être associées à des mandataires IAM (utilisateurs ou rôles) et à des ressources AWS. Grâce aux stratégies IAM, les administrateurs peuvent créer une stratégie réutilisable qui applique des autorisations en fonction des attributs du mandataire IAM. Par exemple, en tant qu'administrateur, vous pouvez utiliser une seule stratégie IAM qui accorde aux développeurs de votre organisation l'accès aux ressources AWS qui correspondent aux balises de projet des développeurs. Lorsque l'équipe de développeurs ajoute des ressources aux projets, les autorisations sont automatiquement appliquées en fonction des attributs. Par conséquent, aucune mise à jour de stratégie n'est requise pour chaque nouvelle ressource.

Les politiques de contrôle des services (SCP) Organizations définissent les autorisations maximales des membres d'un compte d'une organisation ou d'une unité d'organisation (UO). Les politiques SCP limitent les autorisations que les politiques basées sur l'identité ou les politiques basées sur les ressources accordent aux entités (utilisateurs ou rôles) au sein du compte, mais n'accordent pas d'autorisations.

Les politiques de session assument un rôle ou un utilisateur fédéré. Transmettez des politiques de session lors de l'utilisation d'AWS CLI ou de l'API AWS. Ces politiques limitent les autorisations que les politiques basées sur l'identité du rôle ou de l'utilisateur accordent à la session. Ces politiques limitent les autorisations d'une session créée, mais n'accordent pas d'autorisations. Pour plus d'informations, consultez Politiques de session.

Bonnes pratiques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs

SEC03-BP01 Définir les conditions d'accès