Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour AWS X-Ray
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources X-Ray. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes AWS X-Ray d'identité et d'accès](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS X-Ray d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment AWS X-Ray fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à X-Ray, vous devez connaître les fonctionnalités IAM disponibles avec X-Ray. Pour obtenir une vue d'ensemble de la façon dont X-Ray et d'autres appareils Services AWS fonctionnent avec IAM, voir Services AWS That [Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur d'*IAM*.
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour accorder des autorisations X-Ray aux utilisateurs et aux ressources de calcul de votre compte. IAM contrôle l'accès au service X-Ray au niveau de l'API afin d'appliquer les autorisations de manière uniforme, quel que soit le client (console, AWS SDK AWS CLI) utilisé par vos utilisateurs.
Pour [utiliser la console X-Ray](aws-xray-interface-console.md#xray-console) afin de visualiser des cartes de traçage et des segments, vous n'avez besoin que d'autorisations de lecture. Pour activer l'accès à la console, ajoutez la `AWSXrayReadOnlyAccess` [politique gérée](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) à votre utilisateur IAM.
Pour [le développement et les tests locaux](#xray-permissions-local), créez un rôle IAM avec des autorisations de lecture et d'écriture. [Assumez le rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) et stockez les informations d'identification temporaires pour le rôle. Vous pouvez utiliser ces informations d'identification avec le daemon X-Ray AWS CLI, le et le AWS SDK. Pour plus d'informations, reportez-vous à la section [Utilisation d'informations d'identification AWS CLI de sécurité temporaires avec le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
Pour [déployer votre application instrumentée AWS](#xray-permissions-aws), créez un rôle IAM avec des autorisations d'écriture et attribuez-le aux ressources qui exécutent votre application. `AWSXRayDaemonWriteAccess`inclut l'autorisation de télécharger des traces, ainsi que certaines autorisations de lecture pour soutenir l'utilisation de [règles d'échantillonnage](xray-console-sampling.md).
Les stratégies de lecture et d'écriture n'incluent pas l'autorisation de configurer les [paramètres de la clé de chiffrement](xray-console-encryption.md) et les règles d'échantillonnage. `AWSXrayFullAccess`Utilisez-le pour accéder à ces paramètres ou ajouter une [configuration APIs](xray-api-configuration.md) dans une politique personnalisée. Pour les opérations de chiffrement et de déchiffrement avec une clé gérée par le client que vous créez, vous avez également besoin de l'[autorisation d'utiliser la clé](#xray-permissions-encryption).
**Topics**
+ [Politiques basées sur l'identité de X-Ray](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources de X-Ray](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags X-Ray](#security_iam_service-with-iam-tags)
+ [Exécution de votre application en local](#xray-permissions-local)
+ [Exécution de votre application dans AWS](#xray-permissions-aws)
+ [Autorisations utilisateur pour le chiffrement](#xray-permissions-encryption)
## Politiques basées sur l'identité de X-Ray
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. X-Ray prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans X-Ray utilisent le préfixe suivant avant l'action :`xray:`. Par exemple, pour autoriser quelqu'un à récupérer les détails des ressources du groupe à l'aide de l'opération de l'`GetGroup`API X-Ray, vous devez inclure l'`xray:GetGroup`action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. X-Ray définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"xray:action1",
"xray:action2"
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Get`, incluez l’action suivante :
```
"Action": "xray:Get*"
```
Pour consulter la liste des actions X-Ray, reportez-vous à la section [Actions définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) dans le *guide de l'utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Vous pouvez contrôler l'accès aux ressources à l'aide d'une politique IAM. Pour les actions qui prennent en charge les autorisations au niveau des ressources, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique.
Toutes les actions X-Ray peuvent être utilisées dans une politique IAM pour accorder ou refuser aux utilisateurs l'autorisation d'utiliser cette action. Cependant, les [actions X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) ne prennent pas toutes en charge les autorisations au niveau des ressources, qui vous permettent de spécifier les ressources sur lesquelles une action peut être effectuée.
Pour les actions qui ne prennent pas en charge les autorisations de niveau ressource, vous devez utiliser « `*` » comme ressource.
Les actions X-Ray suivantes prennent en charge les autorisations au niveau des ressources :
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateGroup`. Cet exemple montre comment se servir d’un ARN lié à un nom de groupe `local-users`, en utilisant l’ID unique en tant que caractère générique. L'ID unique est généré lorsque le groupe est créé. Il ne peut donc pas être prédit à l'avance dans la stratégie. Lorsque vous utilisez `GetGroup`, `UpdateGroup` ou `DeleteGroup`, vous pouvez définir l’ID unique en tant que caractère générique ou ARN exact, comprenant l’ID.
**Note**
L'ARN d'une règle d'échantillonnage est défini par le nom de cette dernière. Contrairement aux règles de groupe ARNs, les règles d'échantillonnage n'ont pas d'identifiant généré de manière unique.
Pour consulter la liste des types de ressources X-Ray et leurs caractéristiques ARNs, reportez-vous à la section [Ressources définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Clés de condition
X-Ray ne fournit aucune clé de condition spécifique au service, mais prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section [Clés contextuelles de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques basées sur l'identité de X-Ray, consultez. [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources de X-Ray
X-Ray prend en charge les politiques basées sur les ressources pour l' Service AWS intégration actuelle et future, telles que le suivi actif [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html). Les politiques basées sur les ressources de X-Ray peuvent être mises à jour par d'autres AWS Management Console utilisateurs, via le AWS SDK ou la CLI. Par exemple, la console Amazon SNS tente de configurer automatiquement une politique basée sur les ressources pour envoyer des traces à X-Ray. Le document de politique suivant fournit un exemple de configuration manuelle de la politique basée sur les ressources de X-Ray.
**Example Exemple de politique basée sur les ressources X-Ray pour le suivi actif d'Amazon SNS**
Cet exemple de document de politique précise les autorisations dont Amazon SNS a besoin pour envoyer des données de suivi à X-Ray :
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Utilisez la CLI pour créer une politique basée sur les ressources qui autorise Amazon SNS à envoyer des données de suivi à X-Ray :
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Pour utiliser ces exemples, remplacez*`partition`*, *`region`**`account-id`*, et *`topic-name`* par votre AWS partition, région, ID de compte et nom de rubrique Amazon SNS spécifiques. Pour autoriser toutes les rubriques Amazon SNS à envoyer des données de suivi à X-Ray, remplacez le nom de la rubrique par. `*`
## Autorisation basée sur les tags X-Ray
Vous pouvez associer des tags à des groupes X-Ray ou à des règles d'échantillonnage, ou transmettre des tags dans une demande à X-Ray. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `xray:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources X-Ray, consultez[Étiquetage des règles et des groupes d'échantillonnage aux rayons X](xray-tagging.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Exécution de votre application en local
Votre application instrumentée envoie des données de trace au daemon X-Ray. Le daemon met en mémoire tampon les documents et les télécharge par lots vers le service X-Ray. Le daemon a besoin d'autorisations d'écriture pour télécharger des données de trace et des données de télémétrie vers le service X-Ray.
Lorsque vous [exécutez le démon localement](xray-daemon-local.md), créez un rôle IAM, [assumez le rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) et stockez les informations d'identification temporaires dans des variables d'environnement ou dans un fichier nommé `credentials` dans un dossier nommé `.aws` dans votre dossier utilisateur. Pour plus d'informations, reportez-vous à la section [Utilisation d'informations d'identification AWS CLI de sécurité temporaires avec le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Si vous avez déjà configuré des informations d'identification à utiliser avec le AWS SDK ou AWS CLI, le démon peut les utiliser. Si plusieurs profils sont disponibles, le démon utilise celui par défaut.
## Exécution de votre application dans AWS
Lorsque vous exécutez votre application sur AWS, utilisez un rôle pour accorder l'autorisation à l'instance Amazon EC2 ou à la fonction Lambda qui exécute le démon.
+ **Amazon Elastic Compute Cloud (Amazon EC2**[) — Créez un rôle IAM et associez-le à l'instance EC2 en tant que profil d'instance.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)
+ **Amazon Elastic Container Service (Amazon ECS)** — Créez un rôle IAM et associez-le aux instances de conteneur en tant que rôle IAM [d'instance de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html).
+ **AWS Elastic Beanstalk (Elastic Beanstalk) — Elastic** [Beanstalk inclut les autorisations X-Ray dans son profil d'instance par défaut.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Vous pouvez utiliser le profil d'instance par défaut ou ajouter des autorisations d'écriture à un profil d'instance personnalisé.
+ **AWS Lambda (Lambda)** — Ajoutez des autorisations d'écriture au rôle d'exécution de votre fonction.
**Pour créer un rôle à utiliser avec X-Ray**
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/home).
1. Sélectionnez **Rôles**.
1. Choisissez **Create New Role** (Créer un nouveau rôle).
1. Sous **Nom du rôle**, tapez **xray-application**. Choisissez **Étape suivante**.
1. Pour **Role Type**, choisissez **Amazon EC2**.
1. Joignez la politique gérée suivante pour permettre à votre application d'accéder à Services AWS :
+ **AWSXRayDaemonWriteAccess**— Permet au daemon X-Ray de télécharger des données de trace.
Si votre application utilise le AWS SDK pour accéder à d'autres services, ajoutez des politiques qui accordent l'accès à ces services.
1. Choisissez **Étape suivante**.
1. Choisissez **Create Role** (Créer un rôle).
## Autorisations utilisateur pour le chiffrement
X-Ray chiffre toutes les données de trace et, par défaut, vous pouvez le [configurer pour utiliser une clé que vous gérez](xray-console-encryption.md). Si vous choisissez une clé gérée par le AWS Key Management Service client, vous devez vous assurer que la politique d'accès de la clé vous permet d'autoriser X-Ray à l'utiliser pour le chiffrement. Les autres utilisateurs de votre compte doivent également accéder à la clé pour consulter les données de suivi cryptées dans la console X-Ray.
Pour une clé gérée par le client, configurez votre clé avec une politique d'accès qui autorise les actions suivantes :
+ L'utilisateur qui configure la clé dans X-Ray est autorisé à appeler `kms:CreateGrant` et`kms:DescribeKey`.
+ Les utilisateurs qui peuvent accéder à des données de suivi chiffrées sont autorisés à appeler `kms:Decrypt`.
Lorsque vous ajoutez un utilisateur au groupe **Utilisateurs clés** dans la section de configuration des clés de la console IAM, il est autorisé à effectuer ces deux opérations. Les autorisations doivent uniquement être définies selon la politique clé, vous n'avez donc pas besoin d' AWS KMS autorisations pour vos utilisateurs, groupes ou rôles. Pour plus d'informations, consultez la section [Utilisation des politiques clés dans le guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Pour le chiffrement par défaut, ou si vous choisissez la AWS clé CMK gérée (`aws/xray`), l'autorisation dépend de la personne ayant accès à X-Ray APIs. Toute personne ayant accès à [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), incluse dans `AWSXrayFullAccess`, peut modifier la configuration de chiffrement. Pour empêcher un utilisateur de changer la clé de chiffrement, ne leur donnez pas l'autorisation d'utiliser [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray exemples de politiques basées sur l'identité
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources X-Ray. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
Pour savoir comment créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console X-Ray](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies)
+ [X-Ray met à jour les politiques AWS gérées](#xray-permissions-managedpolicies-history)
+ [Spécification d'une ressource dans une politique IAM](#xray-permissions-resources)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources X-Ray dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console X-Ray
Pour accéder à la AWS X-Ray console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les détails des ressources X-Ray de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Pour vous assurer que ces entités peuvent toujours utiliser la console X-Ray, associez la politique `AWSXRayReadOnlyAccess` AWS gérée aux entités. Cette politique est décrite plus en détail dans [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies). Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux groupes X-Ray et les règles d'échantillonnage en fonction des balises. L'exemple de politique suivant peut être utilisé pour refuser à un rôle d'utilisateur l'autorisation de créer, de supprimer ou de mettre à jour des groupes avec les balises `stage:prod` ou`stage:preprod`. Pour plus d'informations sur le balisage des règles et des groupes d'échantillonnage X-Ray, consultez[Étiquetage des règles et des groupes d'échantillonnage aux rayons X](xray-tagging.md).
Pour refuser la création d'une règle d'échantillonnage, utilisez cette option `aws:RequestTag` pour indiquer les balises qui ne peuvent pas être transmises dans le cadre d'une demande de création. Pour refuser la mise à jour ou la suppression d'une règle d'échantillonnage, utilisez cette `aws:ResourceTag` option pour refuser les actions en fonction des balises associées à ces ressources.
Vous pouvez associer ces politiques (ou les combiner en une seule politique, puis associer la politique) aux utilisateurs de votre compte. Pour que l'utilisateur puisse modifier un groupe ou une règle d'échantillonnage, le groupe ou la règle d'échantillonnage ne doit pas être balisé `stage=prepod` ou`stage=prod`. La clé de condition d'étiquette `Stage` correspond à la fois à `Stage` et à `stage`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations sur le bloc de conditions, voir [IAM JSON Policy Elements : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le guide de l'*utilisateur IAM*.
Un utilisateur dont le rôle est associé à la politique suivante ne peut pas ajouter la balise `role:admin` aux ressources et ne peut pas supprimer de balises d'une ressource qui lui est `role:admin` associée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Politiques gérées par IAM pour X-Ray
Pour faciliter l'octroi des autorisations, IAM prend en charge les **politiques gérées** pour chaque service. Un service peut mettre à jour ces politiques gérées avec de nouvelles autorisations lorsqu'il en publie de nouvelles APIs. AWS X-Ray fournit des politiques gérées pour les cas d'utilisation en lecture seule, en écriture seule et par les administrateurs.
+ `AWSXrayReadOnlyAccess`— Autorisations de lecture pour utiliser la console X-Ray, ou le AWS SDK AWS CLI, afin d'obtenir des données de suivi, des cartes de traçage, des informations et la configuration de X-Ray à partir de l'API X-Ray. Inclut le gestionnaire d'accès à l'observabilité (OAM) `oam:ListSinks` et `oam:ListAttachedSinks` des autorisations permettant à la console de consulter les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes. Les actions `BatchGetTraceSummaryById` et `GetDistinctTraceGraphs` API ne sont pas destinées à être appelées par votre code et ne sont pas incluses dans le AWS CLI et AWS SDKs.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Écrivez des autorisations pour utiliser le daemon X-Ray, ou AWS SDK AWS CLI, pour télécharger des documents segmentés et des données de télémétrie vers l'API X-Ray. Inclut les autorisations de lecture pour obtenir les [règles d'échantillonnage](xray-console-sampling.md) et rapporter les résultats d'échantillonnage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`— Accorde les autorisations nécessaires pour créer, gérer et consulter les liens d'Observability Access Manager pour partager les ressources X-Ray entre les comptes. Utilisé pour permettre l'[observabilité entre CloudWatch comptes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) source et comptes de surveillance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Autorisation d'utiliser tous les X-Ray APIs, y compris les autorisations de lecture, les autorisations d'écriture et l'autorisation de configurer les paramètres des clés de chiffrement et les règles d'échantillonnage. Inclut le gestionnaire d'accès à l'observabilité (OAM) `oam:ListSinks` et `oam:ListAttachedSinks` des autorisations permettant à la console de consulter les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**Pour ajouter une stratégie gérée à un utilisateur, groupe ou rôle IAM**
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/home).
1. Ouvrez le rôle associé à votre profil d'instance, un utilisateur IAM ou un groupe IAM.
1. Sous **Autorisations**, attachez la stratégie gérée.
## X-Ray met à jour les politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour X-Ray depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique du document](document-history.md) X-Ray.
| Modifier | Description | Date |
| --- | --- | --- |
| [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies) — Ajout de `AWSXrayFullAccess` politiques nouvelles `AWSXrayCrossAccountSharingConfiguration` `AWSXrayReadOnlyAccess` et mises à jour. | X-Ray a ajouté des autorisations `oam:ListSinks` Observability Access Manager (OAM) `oam:ListAttachedSinks` à ces politiques pour permettre à la console de visualiser les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes. | 27 novembre 2022 |
| [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies) — Mise à jour de la `AWSXrayReadOnlyAccess` politique. | X-Ray a ajouté une action d'API,`ListResourcePolicies`. | 15 novembre 2022 |
| [Utilisation de la console X-Ray](#security_iam_id-based-policy-examples-console) — Mise à jour de la `AWSXrayReadOnlyAccess` politique | X-Ray a ajouté deux nouvelles actions d'API, `BatchGetTraceSummaryById` et`GetDistinctTraceGraphs`. Ces actions ne sont pas destinées à être appelées par votre code. Par conséquent, ces actions d'API ne sont pas incluses dans le AWS CLI et AWS SDKs. | 11 novembre 2022 |
## Spécification d'une ressource dans une politique IAM
Vous pouvez contrôler l'accès aux ressources à l'aide d'une politique IAM. Pour les actions qui prennent en charge les autorisations au niveau des ressources, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique.
Toutes les actions X-Ray peuvent être utilisées dans une politique IAM pour accorder ou refuser aux utilisateurs l'autorisation d'utiliser cette action. Cependant, les [actions X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) ne prennent pas toutes en charge les autorisations au niveau des ressources, qui vous permettent de spécifier les ressources sur lesquelles une action peut être effectuée.
Pour les actions qui ne prennent pas en charge les autorisations de niveau ressource, vous devez utiliser « `*` » comme ressource.
Les actions X-Ray suivantes prennent en charge les autorisations au niveau des ressources :
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateGroup`. Cet exemple montre comment se servir d’un ARN lié à un nom de groupe `local-users`, en utilisant l’ID unique en tant que caractère générique. L'ID unique est généré lorsque le groupe est créé. Il ne peut donc pas être prédit à l'avance dans la stratégie. Lorsque vous utilisez `GetGroup`, `UpdateGroup` ou `DeleteGroup`, vous pouvez définir l’ID unique en tant que caractère générique ou ARN exact, comprenant l’ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateSamplingRule`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**Note**
L'ARN d'une règle d'échantillonnage est défini par le nom de cette dernière. Contrairement aux règles de groupe ARNs, les règles d'échantillonnage n'ont pas d'identifiant généré de manière unique.
# Résolution des problèmes AWS X-Ray d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec X-Ray et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans X-Ray](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à X-Ray](#security_iam_troubleshoot-admin-delegate)
+ [Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources X-Ray](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans X-Ray
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsque l'`mateojackson`utilisateur essaie d'utiliser la console pour afficher les détails d'une règle d'échantillonnage mais ne dispose pas des `xray:GetSamplingRules` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses stratégies pour l'autoriser à accéder à la ressource de la règle d'échantillonnage à l'aide de l'action `xray:GetSamplingRules`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à X-Ray.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans X-Ray. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à X-Ray
Pour autoriser d'autres personnes à accéder à X-Ray, vous devez autoriser les personnes ou les applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite associer une politique à l'entité qui lui accorde les autorisations appropriées dans X-Ray. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources X-Ray
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si X-Ray prend en charge ces fonctionnalités, consultez[Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.