Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stratégies IAM pour Amazon EC2
Par défaut, les utilisateurs n’ont pas l’autorisation de créer ou de modifier des ressources Amazon EC2, ni d’effectuer des tâches à l’aide de l’API Amazon EC2, de la console Amazon EC2 ou de la CLI. Pour permettre aux utilisateurs de créer ou de modifier des ressources et d’effectuer des tâches, vous devez créer des politiques IAM qui accordent aux utilisateurs l’autorisation d’utiliser les ressources spécifiques et les actions d’API dont ils auront besoin, puis attacher ces politiques aux utilisateurs, aux groupes ou aux rôles IAM qui nécessitent ces autorisations.
Quand vous attachez une stratégie à un utilisateur, à un groupe d’utilisateurs ou à un rôle, celle-ci accorde ou refuse aux utilisateurs l’autorisation d’exécuter les tâches spécifiées sur les ressources spécifiées. Pour des informations plus générales sur les politiques IAM, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM. Pour plus d’informations sur la gestion et la création de politiques IAM personnalisées, consultez Gestion des politiques IAM.
Prise en main
Une politique IAM doit accorder ou refuser les autorisations permettant d’utiliser une ou plusieurs actions Amazon EC2. Elle doit aussi spécifier les ressources qui peuvent être utilisées avec l’action : il peut s’agir de toutes les ressources ou, dans certains cas, de ressources spécifiques. La politique peut aussi inclure les conditions que vous appliquez à la ressource.
Amazon EC2 prend partiellement en charge les permissions au niveau des ressources. Cela signifie que pour certaines actions d’API EC2, vous ne pouvez pas spécifier quelle ressource un utilisateur est autorisé à utiliser pour cette action. Au lieu de cela, vous devez autoriser les utilisateurs à utiliser toutes les ressources pour cette action.
| Tâche | Sujet |
|---|---|
| Comprendre la structure de base d’une politique | Syntaxe d’une politique |
| Définir les actions de votre politique | Actions pour Amazon EC2 |
| Définir les ressources spécifiques de votre politique | Amazon Resource Names (ARN) pour Amazon EC2 |
| Appliquer les conditions à l’utilisation des ressources | Clés de condition pour Amazon EC2 |
| Utiliser les permissions disponibles au niveau des ressources pour Amazon EC2 | Actions, ressources et clés de condition pour Amazon EC2 |
| Tester votre politique |
Vérifier que les utilisateurs ont les autorisations requises |
| Générer une politique IAM | |
| Exemple de politiques pour une CLI ou un SDK | Exemples de politiques pour travailler avec le AWS CLI ou un AWS SDK |
| Exemple de politiques pour la console Amazon EC2 | Exemples de politiques à utiliser sur la console Amazon EC2 |
Octroi d’autorisations aux utilisateurs, aux groupes et aux rôles
Voici des exemples de politiques AWS gérées que vous pouvez utiliser si elles répondent à vos besoins :
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
Pour plus d'informations sur les politiques AWS gérées disponibles pour fonctionner avec Amazon EC2, consultez les politiques AWS gérées pour Amazon Elastic Compute Cloud.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Pour plus d’informations, voir la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) du Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM du Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-
