Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cas d'utilisation métier pour IAM
Vous pouvez utiliser un cas d'utilisation commercial simple concernant IAM pour mieux comprendre comment implémenter le service pour contrôler l'accès à AWS accordé à vos utilisateurs. Celui-ci est décrit dans des termes généraux, sans les mécanismes d'utilisation de l'API IAM pour obtenir les résultats escomptés.
Ce cas d'utilisation présente deux manières standard dont une entreprise fictive appelée Example Corp peut utiliser IAM. Le premier scénario prend en compte Amazon Elastic Compute Cloud (Amazon EC2). Le second prend en compte Amazon Simple Storage Service (Amazon S3).
Pour plus d'informations sur l'utilisation d'IAM avec d'autres services AWS, consultez AWS services qui fonctionnent avec IAM.
Rubriques
Configuration initiale d'Example Corp
Nikki Wolf et Mateo Jackson sont les fondateurs d'Example Corp. Lors de la création de l'entreprise, ils créent un Compte AWS et configurent AWS IAM Identity Center (IAM Identity Center) pour créer des comptes administratifs à utiliser avec leurs ressources AWS. Lorsque vous configurez l'accès au compte pour l'utilisateur administratif, IAM Identity Center crée un rôle IAM correspondant. Ce rôle, qui est contrôlé par IAM Identity Center, est créé dans l'Compte AWS concerné et les politiques spécifiées dans l'e jeu d'autorisations AdministratorAccess sont associées au rôle.
Comme ils ont désormais des comptes administrateurs, Nikki et Mateo n'ont plus besoin d'utiliser leur utilisateur root pour accéder à leur Compte AWS. Ils ne prévoient de l'utiliser que pour effectuer les tâches que lui seul peut effectuer. Après avoir passé en revue les bonnes pratiques de sécurité, ils configurent une authentification multifactorielle (MFA) pour leurs informations d'identification d'utilisateur root et décident de la manière de protéger ces informations d'identification d'utilisateur root.
Au fur et à mesure où leur entreprise croît, ils embauchent des employés comme développeurs, administrateurs, testeurs, gestionnaires et administrateurs système. Nikki est en charge des opérations, tandis que Mateo gère les équipes d'ingénierie. Ils ont mis en place un serveur de domaine Active Directory pour gérer les comptes des employés et gérer l'accès aux ressources internes de l'entreprise.
Pour permettre à leurs employés d'accéder aux ressources AWS, ils utilisent IAM Identity Center pour connecter l'Active Directory de leur entreprise à leur Compte AWS.
Comme ils ont connecté Active Directory à IAM Identity Center, les utilisateurs, les groupes et les appartenances aux groupes sont synchronisés et définis. Ils doivent attribuer des ensembles d'autorisations et des rôles aux différents groupes afin de donner aux utilisateurs le niveau d'accès approprié aux ressources AWS. Pour créer ces ensembles d'autorisations, ils utilisent AWS politiques gérées pour les fonctions professionnelles dans la AWS Management Console :
-
Administrateur
-
Facturation
-
Développeurs
-
Administrateurs réseau
-
Administrateurs de base de données
-
Administrateurs système
-
Utilisateurs du support
Ils attribuent ensuite ces ensembles d'autorisations aux rôles attribués à leurs groupes Active Directory.
Pour obtenir un guide détaillé décrivant la configuration initiale d'IAM Identity Center, consultez Mise en route dans le Guide de l'utilisateur AWS IAM Identity Center. Pour plus d'informations sur l'approvisionnement de l'accès utilisateur à IAM Identity Center, consultez Accès par authentification unique aux comptes AWS dans le Guide de l'utilisateur AWS IAM Identity Center.
Cas d'utilisation pour IAM avec Amazon EC2
Une entreprise comme Example Corp utilise généralement IAM pour interagir avec des services comme Amazon EC2. Pour comprendre cette partie du cas d'utilisation, vous devez comprendre les bases d'Amazon EC2. Pour de plus amples informations sur Amazon EC2, consultez le Guide de l'utilisateur Amazon EC2 pour les instances Linux.
Autorisations Amazon EC2 pour les groupes d'utilisateurs
Pour fournir un contrôle de « périmètre », Nikki attache une politique au groupe d'utilisateurs AllUsers. Cette dernière refuse les demandes AWS émises par un utilisateur dont l'adresse IP d'origine est située à l'extérieur du réseau d'entreprise d'Example Corp.
Chez Example Corp, différents groupes d'utilisateurs nécessitent des autorisations distinctes :
-
Administrateurs système : nécessitent l'autorisation de créer et de gérer des AMI, des instances, des instantanés, des volumes, des groupes de sécurité, etc. Nikki attache la politique
AmazonEC2FullAccessgérée par AWS au groupe SysAdmins qui accorde aux membres du groupe d'utilisateurs l'autorisation d'utiliser toutes les actions Amazon EC2. -
Développeurs : ont uniquement besoin de pouvoir utiliser des instances. Par conséquent, Mateo crée et attache une politique au groupe d'utilisateurs Développeurs qui autorise les développeurs à appeler
DescribeInstances,RunInstances,StopInstances,StartInstancesetTerminateInstances.Note
Amazon EC2 utilise des clés SSH, des mots de passe Windows et des groupes de sécurité pour contrôler qui a accès au système d'exploitation d'instances Amazon EC2 spécifiques. Il n'existe aucune méthode dans le système IAM pour autoriser ou refuser l'accès au système d'exploitation d'une instance spécifique.
-
Utilisateurs du support : ne doivent pas pouvoir exécuter toutes les actions Amazon EC2, uniquement répertorier les ressources Amazon EC2 disponibles actuellement. Par conséquent, Nikki crée et attache une politique au groupe d'utilisateurs Utilisateurs du support qui les autorise uniquement à appeler des opérations d'API « Describe » Amazon EC2.
Pour obtenir des exemples de ce à quoi ces politiques peuvent ressembler, consultez Exemples de politiques basées sur l'identité IAM et Utilisation d'Identity and Access ManagementAWS dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.
Modification de la fonction de tâche de l'utilisateur
À un moment donné, l'un des développeurs, Paulo Santos, change de rôle et devient gestionnaire. En tant que gestionnaire, Paulo fait partie du groupe Utilisateurs du support afin de pouvoir ouvrir des dossiers d'assistance pour ses développeurs. Mateo déplace Paulo du groupe Développeurs vers le groupe d'utilisateurs Utilisateurs du support. En conséquence de ce déplacement, sa capacité à interagir avec des instances Amazon EC2 est limitée. Il ne peut pas lancer ou démarrer des instances. Il ne peut également pas arrêter ou mettre hors service les instances existantes, même s'il était l'utilisateur qui a lancé ou démarré l'instance. Il peut uniquement répertorier les instances lancées par les utilisateurs d'Example Corp.
Cas d'utilisation pour IAM avec Amazon S3
Les entreprises comme Example Corp utilisent aussi généralement IAM avec Amazon S3. John a créé un compartiment Amazon S3 appelé aws-s3-bucket pour l'entreprise.
Création d'autres utilisateurs et groupes d'utilisateurs
En tant qu'employés, Zhang Wei et Mary Major ont besoin de créer chacun leurs propres données dans le compartiment de l'entreprise. Ils ont également besoin des données partagées en lecture et en écriture que tous les développeurs utiliseront. Pour cela, Mateo organise logiquement les données dans aws-s3-bucket à l'aide d'un schéma de préfixe de clé Amazon S3 présenté dans l'illustration suivante.
/aws-s3-bucket
/home
/zhang
/major
/share
/developers
/managersMateo divise /aws-s3-bucket en un ensemble de répertoires de base pour chaque employé et une zone partagée de groupes de développeurs et de gestionnaires.
À présent, Mateo crée un ensemble de politiques pour attribuer des autorisations aux utilisateurs et aux groupes d'utilisateurs :
-
Accès au répertoire de base de Zhang : Mateo attache une politique à Wei lui permettant de lire, d'écrire et de répertorier les objets avec le préfixe de clé Amazon S3
/aws-s3-bucket/home/zhang/ -
Accès au répertoire de base de Major : Mateo attache une politique à Mary lui permettant de lire, d'écrire et de répertorier les objets avec le préfixe de clé Amazon S3
/aws-s3-bucket/home/major/ -
Accès au répertoire partagé par le groupe d'utilisateurs Développeurs : Mateo attache une politique au groupe qui permet aux développeurs de lire, d'écrire et de répertorier tous les objets de
/aws-s3-bucket/share/developers/ -
Accès au répertoire partagé par le groupe d'utilisateurs Gestionnaires : Mateo attache une politique au groupe d'utilisateurs qui permet aux gestionnaires de lire, d'écrire et de répertorier tous les objets de
/aws-s3-bucket/share/managers/
Note
Amazon S3 n'attribue pas automatiquement à un utilisateur qui crée un compartiment ou un objet l'autorisation d'exécuter d'autres actions sur ce compartiment ou cet objet. Par conséquent, dans vos politiques IAM, vous devez accorder explicitement l'autorisation aux utilisateurs d'utiliser les ressources Amazon S3 qu'ils créent.
Pour obtenir des exemples de ce à quoi ces politiques peuvent ressembler, veuillez consulter Access Control (contrôle d'accès) dans le guide de l'utilisateur service de stockage simple Amazon. Pour plus d'informations sur la manière dont les politiques sont évaluées au moment de l'exécution, consultez Logique d'évaluation de politiques.
Modification de la fonction de tâche de l'utilisateur
À un moment donné, l'un des développeurs, Zhang Wei, change de rôle et devient gestionnaire. Nous supposerons qu'il n'a plus besoin d'accéder aux documents de l'annuaire share/developers. Mateo, en tant qu'administrateur, déplace Wei du groupe d'utilisateurs Managers vers le groupe d'utilisateurs Developers. En une simple réaffectation, Wei obtient automatiquement toutes les autorisations accordées au groupe d'utilisateurs Managers, mais il en peut plus accéder aux données du répertoire share/developers.
Intégration d'une entreprise tierce
Les organisations travaillent souvent avec des entreprises partenaires, des consultants et des sous-traitants. Example Corp a un partenaire appelé Widget Company, et une employée de Widget Company appelé Shirley Rodriguez doit placer des données dans un compartiment à l'intention d'Example Corp. Nikki crée un groupe d'utilisateurs appelé WidgetCo et une utilisatrice Shirley qu'il ajoute au groupe d'utilisateurs WidgetCo. Nikki crée également un compartiment spécial appelé aws-s3-bucket1 pour Shirley.
Nikki met à jour les politiques existantes ou ajoute de nouvelles politiques pour le partenaire Widget Company. Par exemple, Nikki peut créer une nouvelle politique qui refuse aux membres du groupe d'utilisateurs WidgetCo de pouvoir exécuter des actions autres que d'écriture. Cette politique est nécessaire uniquement s'il existe une vaste politique qui donne à tous les utilisateurs l'accès à un éventail d'actions Amazon S3.
