Les autorisations vous permettent de définir l'accès aux ressources AWS. Les autorisations sont accordées aux entités IAM (utilisateurs, groupes et rôles) et, par défaut, ces entités commencent sans autorisations. En d'autres termes, les entités IAM ne peuvent rien faire dans AWS tant que vous ne leur avez pas accordé les autorisations souhaitées. Pour accorder des autorisations à des entités, vous pouvez associer une stratégie qui définit le type d'accès, les actions pouvant être effectuées et les ressources sur lesquelles les actions peuvent être réalisées. De plus, vous pouvez définir les conditions qui doivent être réunies pour autoriser ou refuser l'accès.

How to Become an IAM Policy Ninja in 60 Minutes or Less
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

Découvrez gratuitement AWS

Créez un compte gratuit
Vous pouvez également vous connecter à la console

Le niveau gratuit d'AWS inclut 750 heures d'exécution d'un nœud de cache Micro avec Amazon ElastiCache.

Voir les détails relatifs au niveau gratuit d'AWS »

Pour attribuer des autorisations à un utilisateur, un groupe, un rôle ou une ressource, vous devez créer une stratégie qui permet de définir les éléments suivants :

  • Actions : les actions AWS que vous autorisez. Par exemple, vous pouvez autoriser un utilisateur à appeler l'action ListBucket dans Amazon S3. Les actions que vous n'avez pas autorisées de façon explicite sont refusées.
  • Ressources : les ressources sur lesquelles vous autorisez l'action. Par exemple, sur quels compartiments Amazon S3 autorisez-vous l'utilisateur à exécuter l'action ListBucket ? Les utilisateurs ne peuvent pas accéder aux ressources auxquelles vous n'octroyez pas un accès de façon explicite.
  • Effet : autorisation ou refus de l'accès. Comme l'accès est refusé par défaut, vous devez généralement écrire des stratégies où l'effet consiste à autoriser l'accès.
  • Conditions : les conditions qui doivent être réunies pour que la stratégie entre en vigueur. Par exemple, vous pouvez accorder un accès uniquement à des compartiments S3 spécifiques si l'utilisateur se connecte à partir d'une plage d'adresses IP particulière ou s'il a utilisé une authentification multi-facteurs lors de la connexion.

Vous pouvez créer des stratégies en utilisant l'éditeur visuel ou le format JSON. Une stratégie comporte une ou plusieurs déclarations, chacune décrivant un ensemble d'autorisations. Pour en savoir plus sur le langage des stratégies, consultez la section Référence de stratégie IAM d'AWS.

L'éditeur visuel vous guide à travers l'octroi des autorisations en utilisant les stratégies IAM, sans que vous ayez besoin d'écrire celles-ci au format JSON (bien que vous puissiez toujours créer et modifier des stratégies au format JSON, si vous préférez). La stratégie de la capture d'écran suivante a été créée avec l'éditeur visuel. Elle accorde cinq actions Liste et Lecture Amazon S3 sur le compartiment S3, ainsi que des objets dans SampleBucket si le préfixe commence par MyPrefix.

Capture d'écran de l'éditeur visuel

Si vous utilisez AWS Management Console pour gérer les autorisations, vous pouvez afficher des récapitulatifs de stratégies. Un résumé d'une stratégie répertorie le niveau d'accès, les ressources et les conditions de chaque service défini dans une stratégie (consultez la capture d'écran ci-après pour voir un exemple). Pour vous aider à comprendre les autorisations définies dans une stratégie, les actions de chaque service AWS sont classées en quatre niveaux d'accès : Liste, Lecture, Écriture et Gestion des autorisations.

Capture d'écran d'un résumé d'une stratégie

Vous pouvez sélectionner une stratégie prédéfinie gérée par AWS ou créer la vôtre avec le générateur de stratégies. Pour en savoir plus, consultez la section Présentation des stratégies IAM du manuel Utilisation d'IAM.