Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Présentation de la gestion des autorisations d'accès à vos ressources Amazon RDS

Chaque ressource AWS appartient à un compte AWS et les autorisations permettant de créer des ressources et d'y accéder sont régies par les stratégies d'autorisation. Un administrateur de compte peut attacher des stratégies d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de stratégies d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le manuel IAM Guide de l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Ressources et opérations Amazon RDS

Dans Amazon RDS, la ressource principale est une instance de base de données. Amazon RDS prend en charge d'autres ressources qui peuvent être utilisées avec la ressource principale, telles que les instantanés de de base de données, les groupes de paramètres et les abonnements aux événements. Celles-ci sont appelées sous-ressources.

Ces ressources et sous-ressources ont des noms ARN (Amazon Resource Name) uniques associés, comme cela est illustré dans le tableau suivant.

Type de ressource Format ARN

Cluster DB

arn:aws:rds:region:account-id:cluster:db-cluster-name

Groupe de paramètres de cluster DB

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

Instantané de cluster DB

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

instance de base de données

arn:aws:rds:region:account-id:db:db-instance-name

Groupe d'options DB

arn:aws:rds:region:account-id:og:option-group-name

Groupe de paramètres de base de données

arn:aws:rds:region:account-id:pg:parameter-group-name

Instantané DB

arn:aws:rds:region:account-id:snapshot:snapshot-name

Security Group DB

arn:aws:rds:region:account-id:secgrp:security-group-name

Groupe de sous-réseaux DB

arn:aws:rds:region:account-id:subgrp:subnet-group-name

Abonnement aux événements

arn:aws:rds:region:account-id:es:subscription-name

Réplica en lecture

arn:aws:rds:region:account-id:db:db-instance-name

instance de base de données réservée

arn:aws:rds:region:account-id:ri:reserved-db-instance-name

Amazon RDS fournit un ensemble d'opérations à utiliser avec les ressources Amazon RDS. Pour obtenir la liste des opérations disponibles, consultez Actions.

Présentation de la propriété des ressources

Un propriétaire de ressource est le compte AWS qui a créé une ressource. Ainsi, le propriétaire de ressource est le compte AWS de l'entité mandataire (le compte racine, un utilisateur IAM ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification du compte racine de votre compte AWS pour créer une ressource RDS, telle qu'une instance de base de données, votre compte AWS est le propriétaire de la ressource RDS.

  • Si vous créez un utilisateur IAM dans votre compte AWS et autorisez cet utilisateur à créer des ressources RDS, l'utilisateur peut créer des ressources RDS. Toutefois, votre compte AWS, auquel l'utilisateur appartient, détient les ressources RDS.

  • Si vous créez un rôle IAM dans votre compte AWS avec des permissions pour créer des ressources RDS, quiconque peut assumer le rôle peut créer des ressources RDS. Votre compte AWS, auquel le rôle appartient, détient les ressources RDS.

Gestion de l'accès aux ressources

Une stratégie d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des stratégies d'autorisation.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'Amazon RDS. Elle ne fournit pas d'informations détaillées sur le service IAM. Pour accéder à la documentation complète d'IAM, consultez Qu'est-ce qu'IAM ? dans le IAM Guide de l'utilisateur. Pour plus d'informations sur la syntaxe des stratégies IAM et les descriptions, consultez Référence de stratégie AWS IAM dans le IAM Guide de l'utilisateur.

Les stratégies attachées à une identité IAM sont qualifiées de stratégies basées sur une entité (stratégies IAM) et les stratégies attachées à une ressource sont qualifiées de stratégies basées sur une ressource. Amazon RDS prend uniquement en charge les stratégies basées sur une identité (stratégies IAM).

Stratégies basées sur une identité (stratégies IAM)

Vous pouvez attacher des stratégies à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une stratégie d'autorisation à un utilisateur ou à un groupe dans votre compte – Un administrateur de compte peut utiliser une stratégie d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer une ressource Amazon RDS, telle qu'une instance de base de données.

  • Attacher une stratégie d'autorisation à un rôle (accorder des autorisations entre comptes) – Vous pouvez attacher une stratégie d'autorisation basée sur une identité à un rôle IAM pour accorder des autorisations entre comptes. Par exemple, l'administrateur dans le Compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte AWS (par exemple, le Compte B) ou à un service AWS comme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une stratégie d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.

    2. L'administrateur du Compte A attache une stratégie d'approbation au rôle identifiant le Compte B comme mandataire pouvant assumer ce rôle.

    3. L'administrateur du Compte B peut alors déléguer des autorisations pour assumer le rôle à tous les utilisateurs figurant dans le Compte B. Cela autorise les utilisateurs du Compte B à créer des ressources ou à y accéder dans le Compte A. Le mandataire dans la stratégie d'approbation peut également être un mandataire de service AWS si vous souhaitez accorder à un service AWS des autorisations pour assumer ce rôle.

    Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion d'accès dans le IAM Guide de l'utilisateur.

Voici un exemple de stratégie autorisant un utilisateur portant l'ID 123456789012 à créer des instances de base de données pour votre compte AWS. La stratégie exige que le nom de la nouvelle instance de base de données commence par test. La nouvelle instance de base de données doit également utiliser le moteur de base de données MySQL et la classe d'instance de base de données db.t2.micro. En outre, la nouvelle instance de base de données doit utiliser un groupe d'options et un groupe de paramètres de base de données commençant par default, et elle doit utiliser le groupe de sous-réseaux default.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:og:default*", "arn:aws:rds:*:123456789012:pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ], "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql", "rds:DatabaseClass": "db.t2.micro" } } } ] }

Pour plus d'informations sur l'utilisation des stratégies basées sur une identité avec Amazon RDS, consultez Utilisation des stratégies basées sur une identité (stratégies IAM) pour Amazon RDS. Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le manuel IAM Guide de l'utilisateur.

Stratégies basées sur une ressource

D'autres services, tels que Amazon S3, prennent également en charge les stratégies d'autorisation basées sur une ressource. Par exemple, vous pouvez attacher une stratégie à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. Amazon RDS ne prend pas en charge les stratégies basées sur une ressource. 

Spécification des éléments d'une stratégie : actions, effets, ressources et mandataires

Pour chaque ressource Amazon RDS (voir Ressources et opérations Amazon RDS), le service définit un ensemble d'opérations d'API (voir Actions). Pour accorder des autorisations pour ces opérations d'API, Amazon RDS définit un ensemble d'actions que vous pouvez spécifier dans une stratégie. Une opération d'API peut exiger des autorisations pour plusieurs actions.

Voici les éléments de base d'une stratégie :

  • Ressource – Dans une stratégie, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique. Pour plus d'informations, consultez Ressources et opérations Amazon RDS.

  • Action – Vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation rds:DescribeDBInstances permet à l'utilisateur d'effectuer l'opération DescribeDBInstances d'Amazon RDS.

  • Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique—qui peut être un accord ou un refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde l'accès.

  • Mandataire – Dans les stratégies basées sur une identité (stratégies IAM), l'utilisateur auquel la stratégie est attachée est le mandataire implicite. Pour les stratégies basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux stratégies basées sur une ressource). Amazon RDS ne prend pas en charge les stratégies basées sur une ressource.

Pour plus d'informations sur la syntaxe des stratégies IAM et obtenir des descriptions, consultez Présentation des stratégies IAM AWS dans le manuel IAM Guide de l'utilisateur.

Pour visualiser un tableau répertoriant toutes les actions d'API d'Amazon RDS, ainsi que les ressources auxquelles elles s'appliquent, consultez Autorisations d'API Amazon RDS : référence des actions, ressources et conditions.

Vous pouvez tester les stratégies IAM à l'aide du simulateur de stratégie IAM. Celui-ci fournit automatiquement une liste des ressources et des paramètres requis pour chaque action AWS, y compris les actions Amazon RDS. Le simulateur de stratégie IAM détermine les autorisations requises pour chacune des actions que vous spécifiez. Pour plus d'informations sur le simulateur de stratégie IAM, consultez Test des stratégies IAM avec le simulateur de stratégie IAM dans le IAM Guide de l'utilisateur.

Spécification des conditions dans une stratégie

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions définissant quand une stratégie doit prendre effet. Par exemple, il est possible d'appliquer une stratégie après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de stratégie, consultez Condition dans le IAM Guide de l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il existe des clés de condition à l'échelle d'AWS et des clés spécifiques à RDS que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des clés à l'échelle d'AWS, consultez Clés disponibles pour les conditions dans le manuel Guide de l'Utilisateur IAM. Pour obtenir la liste complète des clés spécifiques à RDS, consultez Utilisation de conditions de stratégie IAM pour un contrôle d'accès précis.