Gestion de l'accès pour les ressources AWS - AWS Identity and Access Management

Gestion de l'accès pour les ressources AWS

AWS Identity and Access Management (IAM) est un service web qui vous permet de contrôler l'accès aux ressources AWS. Lorsqu'un principal formule une demande dans AWS, le code d'application AWS vérifie si le principal est authentifié (connecté) et autorisé (dispose des autorisations adéquates). Vous pouvez gérer les accès dans AWS en créant des politiques et en les attachant à des identités IAM ou à des ressources AWS. Les politiques sont des documents JSON dans AWS qui, une fois attachés à une identité ou une ressource, définissent leurs autorisations. Pour plus d'informations sur les types de politiques et les utilisations, consultez Politiques et autorisations dans IAM.

Pour en savoir plus sur le reste du processus d'authentification et d'autorisation, consultez Comprendre le fonctionnement d'IAM.


      AccessManagement_Diagram

Lors de l'autorisation, le code d'application AWS utilise les valeurs du contexte de la demande pour vérifier les politiques correspondantes et déterminer s'il autorise ou refuse la demande.

AWS recherche chaque politique qui s'applique au contexte de la demande. Si une seule politique refuse la demande, AWS refuse l'ensemble de la demande et arrête l'évaluation des politiques. Ceci est appelé un refus explicite. Étant donnée que les demandes sont refusées par défaut, IAM autorise votre demande uniquement si chacune de ses parties est autorisée par les politiques applicables. La logique d'évaluation pour une demande au sein d'un même compte utilise les règles suivantes :

  • Par défaut, toutes les demandes sont implicitement refusées. (Autrement, par défaut, l'utilisateur racine Compte AWS dispose d'un accès complet.)

  • Une autorisation explicite dans une politique basée sur l'identité ou les ressources remplace cette valeur par défaut.

  • Si une limite d'autorisations, SCP Organizations ou politique de session est présente, elle peut remplacer l'autorisation avec un refus implicite.

  • Un refus explicite dans n'importe quelle politique remplace toutes les autorisations.

Une fois que votre demande a été authentifiée et autorisée, AWS l'approuve. Si vous avez besoin d'effectuer une demande dans un compte différent, une politique dans l'autre compte doit vous permettre d'accéder à la ressource. En outre, l'entité IAM que vous utilisez pour effectuer la demande doit avoir une politique basée sur l'identité qui autorise la demande.

Ressources de gestion des accès

Pour plus d'informations sur les autorisations et la création de politiques, consultez les ressources suivantes :

Les entrées suivantes du Blog de sécurité AWS présentent les différentes manières d'écrire des politiques permettant d'accéder aux compartiments et aux objets Amazon S3.