Récapitulatif de la politique (liste des services) - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Récapitulatif de la politique (liste des services)

Les politiques sont résumées dans trois tables : récapitulatif de la politique, récapitulatif du service et récapitulatif de l'action. La table récapitulative de la politique comprend une liste des services et des résumés des autorisations définies par la politique choisie.


      Image d'un diagramme de récapitulatifs de politiques illustrant les trois tables et la relation entre elles

La table récapitulative de la politique est regroupée en une ou plusieurs sections Uncategorized services (Services non catégorisés), Explicit deny (Refus explicite) et Allow (Autoriser). Si la politique comprend un service qu'IAM ne reconnaît pas, le service est inclus dans la section Uncategorized services (Services non catégorisés) de la table. Si IAM reconnaît le service, celui-ci figure dans la section Explicit deny (Refus explicite) ou Allow (Autoriser) de la table, selon l'effet de la politique (Deny ou Allow).

Affichage des récapitulatifs de politique

Vous pouvez afficher les résumés de toutes les politiques attachées à un utilisateur en choisissant le nom de la politique dans l'onglet Autorisations de la page des détails de l'utilisateur. Vous pouvez afficher les résumés de toutes les politiques attachées à un rôle en choisissant le nom de la politique dans l'onglet Autorisations de la page des détails du rôle. Vous pouvez afficher le récapitulatif des politiques gérées sur la page Politiques. Si votre politique ne comprend pas de récapitulatif de la politique, consultez Récapitulatif de politique manquant pour en comprendre la raison.

Pour afficher le récapitulatif de la stratégie sur la page Stratégies
  1. Connectez-vous à l’AWS Management Console et ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des stratégies, choisissez le nom de la stratégie à afficher.

  4. Sur la page Détails de la politique, affichez l'onglet Autorisations pour consulter le résumé de la politique.

Pour afficher le récapitulatif d'une politique attachée à un utilisateur
  1. Connectez-vous à l’AWS Management Console et ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Utilisateurs dans le panneau de navigation.

  3. Dans la liste des utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez afficher la politique.

  4. Sur la page Récapitulatif de l'utilisateur, affichez l'onglet Autorisations pour afficher la liste des stratégies attachées à l'utilisateur directement ou via un groupe.

  5. Dans le tableau des stratégies dédiées à l'utilisateur, développez la ligne de la stratégie à afficher.

Pour afficher le récapitulatif d'une politique attachée à un rôle
  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles.

  3. Dans la liste des rôles, choisissez le nom du rôle dont vous souhaitez afficher la politique.

  4. Sur la page Récapitulatif du rôle, affichez l'onglet Autorisations pour afficher la liste des stratégies attachées au rôle.

  5. Dans le tableau des stratégies dédiées au rôle, développez la ligne de la stratégie à afficher.

Modification des politiques pour corriger les avertissements

Lorsque vous consultez le récapitulatif d'une politique, vous pouvez détecter une faute de frappe ou remarquer que la politique ne fournit pas les autorisations que vous attendiez. Vous ne pouvez pas modifier le récapitulatif d'une politique directement. Toutefois, vous pouvez modifier une politique gérée par le client à l'aide de l'éditeur de politique visuel, qui détecte un grand nombre des mêmes erreurs et avertissements que les rapports de synthèse de politique. Vous pouvez ensuite consulter les modifications dans le résumé de politique pour confirmer que vous avez résolu tous les problèmes. Pour savoir comment modifier une politique en ligne, consulter Modification de politiques IAM. Vous ne pouvez pas modifier les politiques gérées AWS.

Pour modifier une politique pour votre résumé de la politique à l'aide de l'option Visuel
  1. Ouvrez le récapitulatif de politique comme expliqué dans les procédures précédentes.

  2. Choisissez Modifier.

    Si vous vous trouvez sur la page Utilisateurs et que vous choisissez de modifier une stratégie gérée par le client qui est attachée à ce dernier, vous êtes redirigé vers la page Stratégies. Vous ne pouvez modifier les stratégies gérées par le client que sur la page Stratégies.

  3. Choisissez l'option Visuel pour afficher la représentation visuelle modifiable de votre politique. IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel et de vous permettre de trouver et de résoudre plus facilement tous les problèmes. Les avertissements et messages d'erreur sur la page peuvent vous aider à résoudre tous les problèmes liés à votre politique. Pour plus d'informations sur les politiques de restructuration IAM, voir Restructuration de politique.

  4. Modifiez votre politique et choisissez Suivant pour que vos modifications s'affichent dans le résumé de la politique. Si un problème persiste, choisissez Précédent pour retourner à l'écran de modification.

  5. Choisissez Enregistrer les Modifications pour enregistrer vos Modifications.

Pour modifier une politique pour votre résumé de la politique à l'aide de l'option JSON
  1. Ouvrez le récapitulatif de politique comme expliqué dans les procédures précédentes.

  2. Vous pouvez utiliser les boutons Résumé et JSON pour comparer le résumé de la politique au document de politique JSON. Ces informations peuvent vous permettre de déterminer quelles lignes du document de politique vous souhaitez modifier.

  3. Choisissez Modifier, puis l'option JSON pour modifier le document de politique JSON.

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'option éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour plus d’informations, consultez Restructuration de politique.

    Si vous vous trouvez sur la page Utilisateurs et que vous choisissez de modifier une stratégie gérée par le client qui est attachée à ce dernier, vous êtes redirigé vers la page Stratégies. Vous ne pouvez modifier les stratégies gérées par le client que sur la page Stratégies.

  4. Modifiez votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant. Si un problème persiste, choisissez Précédent pour retourner à l'écran de modification.

  5. Choisissez Enregistrer les Modifications pour enregistrer vos Modifications.

Présentation des éléments d'un récapitulatif de service

Dans l'exemple suivant de page détaillée d'une politique, la SummaryAllElementspolitique est une politique gérée (politique gérée par le client) attachée directement à l'utilisateur. Cette politique est développée pour afficher son récapitulatif.


        Image de la boîte de dialogue du récapitulatif de la politique

Dans l'image précédente, le résumé de la politique est visible sur la page Politiques :

  1. L'onglet Autorisations comprend les autorisations définies dans la politique.

  2. Si la politique n'accorde pas les autorisations pour toutes les actions, ressources et conditions définies dans la politique, un avertissement ou une bannière d'erreur s'affiche dans la partie supérieure de la page. Puis le récapitulatif de politique inclut des détails relatifs au problème. Pour savoir comment les récapitulatifs de politique vous aident à comprendre les autorisations que votre politique vous accorde et à résoudre les problèmes les concernant, consultez Ma politique n'accorde pas les autorisations escomptées.

  3. Utilisez les boutons Résumé et JSON pour basculer entre le résumé de la politique et le document de politique JSON.

  4. Utilisez la zone de Recherche pour réduire la liste des services et trouver un service spécifique.

  5. La vue agrandie affiche des détails supplémentaires sur la SummaryAllElementspolitique.

L'image du tableau récapitulatif des politiques ci-dessous montre la SummaryAllElementsstratégie étendue sur la page des détails de la stratégie.


        Image de la boîte de dialogue du récapitulatif de la politique

Dans l'image précédente, le résumé de la politique est visible sur la page Politiques :

  1. En ce qui concerne les services qu'IAM reconnaît, il dispose les services selon si la politique autorise ou refuse explicitement l'utilisation du service. Dans cet exemple, la politique inclut une Deny déclaration pour le service Amazon S3 et Allow des instructions pour les services de facturation et Amazon EC2. CodeDeploy

  2. Service : cette colonne répertorie les services définis dans la politique et présente des détails pour chaque service. Chaque nom de service dans la table récapitulative de la politique est un lien vers la table de récapitulatif du service, présenté dans la section Récapitulatif du service (liste des actions). Dans cet exemple, les autorisations sont définies pour les services Amazon S3 CodeDeploy, Billing et Amazon EC2.

  3. Niveau d'accès : cette colonne indique si les actions dans chaque niveau d'accès (List, Read, Write, Permission Management et Tagging) ont des autorisations Full ou Limited définies dans la politique. Pour plus d'informations et pour consulter des exemples de récapitulatif de niveau d'accès, consultez Comprendre les récapitulatifs de niveau d'accès au sein des récapitulatifs de politiques.

    • Full access (Accès complet) : cette entrée indique que le service a accès à toutes les actions dans les quatre niveaux d'accès disponibles pour le service.

    • Si l'entrée ne comprend pas l'Accès complet, le service a accès à certains actions, mais pas à l'ensemble des actions, pour le service. L'accès est alors défini en suivant les descriptions pour chacune des classifications du niveau d'accès (List, Read, Write, Permission Management et Tagging) :

      Complet : La politique fournit un accès complet à toutes les actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à toutes les actions Read de la facturation.

      Limité : La politique fournit un accès à une ou plusieurs actions, mais pas à l'ensemble des actions contenues dans chaque classification de niveau d'accès répertoriée. Dans cet exemple, la politique permet l'accès à certaines des actions Write de la facturation.

  4. Resource (Ressource) : cette colonne présente les ressources que la politique définit pour chaque service.

    • Multiple (Plusieurs) : la politique comprend plusieurs ressources, mails pas leur totalité, dans le service. Dans cet exemple, l'accès est explicitement refusé à plusieurs ressources Amazon S3.

    • Toutes les ressources : la stratégie est définie pour toutes les ressources du service. Dans cet exemple, la politique autorise les actions répertoriées sur toutes les ressources de la facturation.

    • Resource text (Texte de ressource) : la politique contient une ressource dans le service. Dans cet exemple, les actions répertoriées ne sont autorisées que sur la DeploymentGroupName CodeDeploy ressource. En fonction des informations que le service fournit à IAM, il est possible que vous voyiez un ARN ou le type de ressource défini.

      Note

      Cette colonne peut contenir une ressource provenant d'un service différent. Si l'instruction de politique qui inclut la ressource ne contient pas d'actions et de ressources provenant d'un même service, cela signifie que votre politique contient des ressources non appariées. IAM ne vous avertit pas que des ressources ne sont pas appariées lorsque vous créez une politique ou que vous affichez une politique dans le récapitulatif de la politique. Si cette colonne contient une ressource non appariée, recherchez d'éventuelles erreurs dans votre politique. Afin de mieux comprendre vos politiques, vous devez toujours les tester avec le simulateur de politique.

  5. Request condition (Demander une condition) : cette colonne indique si les services ou actions associés aux ressources font l'objet de conditions.

    • None (Aucune) : la politique ne contient aucune condition pour le service. Dans cet exemple, aucun condition n'est appliquée aux actions refusées dans le service Amazon S3.

    • Condition text (Texte de condition) : la politique contient une condition pour le service. Dans cet exemple, les actions de Facturation énumérées sont autorisées uniquement si l'adresse IP de la source correspond à 203.0.113.0/24.

    • Multiple (Plusieurs) : la politique contient plusieurs conditions pour le service. Pour afficher chacune des conditions multiples de la politique, choisissez JSON pour afficher le document de politique.

  6. Afficher les services restants : activez ce bouton pour développer la table afin d'inclure les services non définis par la politique. Ces services sont refusés implicitement (ou refusés par défaut) dans cette politique. Cependant, une instruction dans une autre politique peut tout de même autoriser ou refuser explicitement l'utilisation du service. Le récapitulatif de la politique résume les autorisations d'une seule politique. Pour savoir comment le service AWS décide si une demande donnée doit être autorisée ou refusée, consultez Logique d'évaluation de politiques.

Lorsqu'une politique ou un élément dans la politique n'accorde pas d'autorisations, IAM fournit des avertissements et des informations supplémentaires dans le récapitulatif de politique. Le tableau récapitulatif de la politique suivant montre les services étendus Afficher les services restants sur la page des détails de la SummaryAllElementspolitique avec les avertissements possibles.


        Image de la boîte de dialogue du récapitulatif de la politique

Dans l'image précédente, vous pouvez voir tous les services incluant des actions, ressources ou conditions définies sans autorisation :

  1. Resource warnings (Avertissements relatifs aux ressources) : pour les services qui ne fournissent pas d'autorisations pour toutes les actions ou ressources incluses, vous voyez l'un des avertissements suivants dans la colonne Resource (Ressource) de la table :

    • Aucune ressource n'est définie. – Cela signifie que le service a défini des actions, mais qu'aucune ressource prise en charge n'est incluse dans la politique.

    • Une ou plusieurs actions n'ont pas de ressource applicable. – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de ressource prise en charge.

    • Une ou plusieurs ressources n'ont pas d'action applicable. – Cela signifie que le service a défini des ressources, mais que certaines d'entre elles n'ont pas d'action associée.

    Si un service comprend à la fois des actions qui n'ont pas de ressource applicable et des ressources qui ont une ressource applicable, alors seul l'avertissement Une ou plusieurs ressources n'ont pas d'action applicable est affiché. Ceci est dû au fait que lorsque vous affichez le récapitulatif de ce service, les ressources qui ne s'appliquent à aucune action ne s'affichent pas. Pour l'action ListAllMyBuckets, cette politique inclut le dernier avertissement, car l'action ne prend pas en charge les autorisations au niveau des ressources, ni la clé de condition s3:x-amz-acl. Si vous corrigez le problème de ressource ou celui de condition, le problème restant s'affiche dans un avertissement détaillé.

  2. Request condition warnings (Avertissements relatifs aux demandes de condition) : pour les services qui ne fournissent pas d'autorisations pour toutes les conditions incluses, vous voyez l'un des avertissements suivants dans la colonne Request condition (Demander une condition) de la table :

    • Une ou plusieurs actions n'ont pas de condition applicable. – Cela signifie que le service a défini des actions, mais que certaines d'entre elles n'ont pas de condition prise en charge.

    • Une ou plusieurs conditions n'ont pas d'action applicable. – Cela signifie que le service a défini des conditions, mais que certaines d'entre elles n'ont pas d'action associée.

  3. Multiple (Plusieurs) | Une ou plusieurs actions n'ont pas de ressource applicable. – L'instruction Deny pour Amazon S3 inclut plusieurs ressources. Elle inclut également plusieurs actions ; certaines actions prennent en charge les ressources et d'autres non. Pour afficher cette politique, consultez Document de politique JSON SummaryAllElements. Dans ce cas, la politique inclut toutes les actions d'Amazon S3, et seules les actions qui peuvent être effectuées sur un compartiment ou un objet dans un compartiment sont rejetées.

  4. No resources are defined (Aucune ressource n'est définie) : le service a défini des actions, mais aucune ressource prise en charge n'est incluse dans la politique, et par conséquent, le service ne fournit aucune autorisation. Dans ce cas, la politique inclut des CodeCommit actions mais aucune CodeCommit ressource.

  5. DeploymentGroupName | string like | All, region | string like | us-west-2 | Une ou plusieurs actions n'ont pas de ressource applicable. – Le service a une action définie et au moins une autre action qui n'a pas de ressource de support.

  6. None | Une ou plusieurs conditions n'ont pas d'action applicable. – Le service a au moins une clé de condition qui n'a pas d'action de support.

Document de politique JSON SummaryAllElements

La SummaryAllElementspolitique n'est pas destinée à être utilisée pour définir des autorisations dans votre compte. En fait, elle est incluse pour illustrer les erreurs et les avertissements que vous risquez de rencontrer lors de l'affichage d'un récapitulatif de politique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "billing:Get*", "payments:List*", "payments:Update*", "account:Get*", "account:List*", "cur:GetUsage*" ], "Resource": [ "*" ], "Condition": { "IpAddress": { "aws:SourceIp": "203.0.113.0/24" } } }, { "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] }, { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshots" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "codedploy:*", "codecommit:*" ], "Resource": [ "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*", "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetObject", "s3:DeletObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::developer_bucket", "arn:aws:s3:::developer_bucket/*", "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp" ], "Condition": { "StringEquals": { "s3:x-amz-acl": [ "public-read" ], "s3:prefix": [ "custom", "other" ] } } } ] }