Les autorisations vous permettent de définir l'accès aux ressources AWS. Les autorisations sont accordées aux entités IAM (utilisateurs, groupes et rôles) et, par défaut, ces entités commencent sans autorisations. En d'autres termes, les entités IAM ne peuvent rien faire dans AWS tant que vous ne leur avez pas accordé les autorisations souhaitées. Pour accorder des autorisations à des entités, vous pouvez associer une stratégie qui définit le type d'accès, les actions pouvant être effectuées et les ressources sur lesquelles les actions peuvent être réalisées. De plus, vous pouvez définir les conditions qui doivent être réunies pour autoriser ou refuser l'accès.

Devenir un expert des politiques IAM en 60 minutes ou moins (55:35)

Pour attribuer des autorisations à un utilisateur, un groupe, un rôle ou une ressource, vous devez créer une stratégie qui permet de définir les éléments suivants :

  • Actions – Actions de service AWS que vous autorisez. Par exemple, vous pouvez autoriser un utilisateur à appeler l'action ListBucket dans Amazon S3. Les actions que vous n'avez pas autorisées de façon explicite sont refusées.
  • Resources – Ressources AWS sur lesquelles vous autorisez l'action. Par exemple, sur quels compartiments Amazon S3 autorisez-vous l'utilisateur à exécuter l'action ListBucket ? Les utilisateurs ne peuvent pas accéder aux ressources auxquelles vous n'octroyez pas un accès de façon explicite.
  • Effect – Autorisation ou refus de l'accès. Comme l'accès est refusé par défaut, vous devez généralement écrire des stratégies où l'effet consiste à autoriser l'accès.
  • Conditions – Conditions qui doivent être réunies pour que la stratégie entre en vigueur. Par exemple, vous pouvez accorder un accès uniquement à des compartiments S3 spécifiques si l'utilisateur se connecte à partir d'une plage d'adresses IP particulière ou s'il a utilisé une authentification multi-facteurs lors de la connexion.

Vous pouvez créer des stratégies en utilisant l'éditeur visuel ou le format JSON. Une stratégie comporte une ou plusieurs déclarations, chacune décrivant un ensemble d'autorisations. Pour en savoir plus sur le langage des stratégies, consultez la section Référence de stratégie AWS IAM.

L'éditeur visuel vous guide à travers l'octroi des autorisations en utilisant les stratégies IAM, sans que vous ayez besoin d'écrire celles-ci au format JSON (bien que vous puissiez toujours créer et modifier des stratégies au format JSON, si vous préférez). La stratégie de la capture d'écran suivante a été créée avec l'éditeur visuel. Elle accorde cinq actions Liste et Lecture Amazon S3 sur le compartiment S3, ainsi que des objets dans SampleBucket si le préfixe commence par MyPrefix.

ManagePermissions_JC_1117_a

Si vous utilisez AWS Management Console pour gérer les autorisations, vous pouvez afficher des résumés de stratégies. Un résumé d'une stratégie répertorie le niveau d'accès, les ressources et les conditions de chaque service défini dans une stratégie (consultez la capture d'écran ci-après pour voir un exemple). Pour vous aider à comprendre les autorisations définies dans une stratégie, les actions de chaque service AWS sont classées en quatre niveaux d'accès : Liste, Lecture, Écriture et Gestion des autorisations.

JC1final-UPDATED031017-a

Vous pouvez sélectionner une stratégie prédéfinie gérée par AWS ou créer la vôtre avec le générateur de stratégies. Pour en savoir plus, consultez la section Présentation des stratégies IAM du manuel d'utilisation IAM.

Découvrir comment gérer les informations d'identification AWS IAM

Consulter la page de gestion des informations d'identification
Prêt à concevoir ?
Démarrer avec AWS IAM
D'autres questions ?
Contactez-nous