Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Transmission des sessions d'accès
La transmission des sessions d'accès (FAS) est une technologie IAM utilisée par les services AWS pour transmettre votre identité, vos autorisations et vos attributs de session lorsqu'un service AWS effectue une demande en votre nom. La FAS utilise les autorisations de l'identité appelant un service AWS, combinées à l'identité du service AWS, pour effectuer des demandes aux services en aval. Les demandes de FAS ne sont adressées aux services AWS au nom d'un principal IAM qu'après qu'un service a reçu une demande qui nécessite des interactions avec d'autres services ou ressources AWS pour être traitée. Lorsqu'une demande de FAS est effectuée :
-
Le service qui reçoit la demande initiale d'un principal IAM vérifie les autorisations de ce dernier.
-
Le service qui reçoit une demande de FAS ultérieure vérifie également les autorisations du même principal IAM.
Par exemple, la FAS est utilisée par Amazon S3 pour effectuer des appels à AWS Key Management Service afin de déchiffrer un objet lorsque SSE-KMS a été utilisé pour le chiffrer. Lors du téléchargement d'un objet chiffré SSE-KMS, un rôle nommé lecteur de données appelle GetObject sur l'objet via Amazon S3, mais n'appelle pas directement AWS KMS. Après avoir reçu la demande GetObject et autorisé le lecteur de données, Amazon S3 envoie une demande de FAS à AWS KMS afin de déchiffrer l'objet Amazon S3. Lorsque KMS reçoit la demande de FAS, il vérifie les autorisations du rôle et n'autorise la demande de déchiffrement que si le lecteur de données dispose des autorisations correctes sur la clé KMS. Les demandes adressées à Amazon S3 et à AWS KMS sont autorisées à l'aide des autorisations du rôle et n'aboutissent que si le lecteur de données dispose des autorisations nécessaires pour accéder à l'objet Amazon S3 et à la clé AWS KMS.

Note
Des demandes de FAS supplémentaires peuvent être effectuées par les services qui ont reçu une demande de FAS. Dans ce cas, le principal demandeur doit disposer d'autorisations pour tous les services appelés par la FAS.
Conditions des demandes de FAS et de la politique IAM
Lorsque des demandes de FAS sont effectuées, les clés de condition lois : CalledVia, lois : CalledViaFirst, et lois : CalledViaLast sont renseignées avec le principal du service qui a initié l'appel FAS. La valeur de la clé de condition AWS : V iaAWSService est définie sur true
chaque fois qu'une demande de FAS est effectuée. Dans le schéma suivant, aucune clé de condition aws:CalledVia
ou aws:ViaAWSService
n'est définie pour la demande adressée directement à CloudFormation. Lorsque CloudFormation et DynamoDB effectuent des demandes de FAS en aval au nom du rôle, les valeurs de ces clés de condition sont renseignées.

Pour permettre à une demande de FAS d'être effectuée alors qu'elle serait autrement refusée par une déclaration de politique de refus avec une clé de condition testant les adresses IP source ou les VPC source, vous devez utiliser des clés de condition pour fournir une exception pour les demandes de FAS dans votre politique de refus. Cela peut être fait pour toutes les demandes de FAS en utilisant la clé de condition aws:ViaAWSService
. Pour autoriser uniquement certains services AWS à effectuer des demandes de FAS, utilisez aws:CalledVia
.
Important
Lorsqu'une demande de FAS est effectuée après qu'une demande initiale a été effectuée via un point de terminaison d'un VPC, les valeurs des clés de condition pour lois : SourceVpce
, lois : SourceVpc
et lois : VpcSourceIp
de la demande initiale ne sont pas utilisées dans les demandes de FAS. Lorsque vous rédigez des politiques utilisant aws:VPCSourceIP
ou aws:SourceVPCE
pour accorder un accès conditionnel, vous devez également utiliser aws:ViaAWSService
ou aws:CalledVia
pour autoriser les demandes de FAS. Lorsqu'une demande de FAS est effectuée après réception d'une demande initiale par un point de terminaison de service AWS public, les demandes de FAS ultérieures seront effectuées avec la même valeur de clé de condition aws:SourceIP
.
Exemple : autoriser l'accès à Amazon S3 depuis un VPC ou avec la FAS
Dans l'exemple de politique IAM suivant, les demandes Amazon S3 GetObject et Athena ne sont autorisées que si elles proviennent de points de terminaison d'un VPC attachés à example_vpc
, ou s'il s'agit d'une demande de FAS effectuée par Athena.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyAllowMyIPs", "Effect": "Allow", "Action": [ "s3:GetObject*", "athena:StartQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StopQueryExecution", "athena:GetQueryExecution" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVPC": [ "
example_vpc
" ] } } }, { "Sid": "OnlyAllowFAS", "Effect": "Allow", "Action": [ "s3:GetObject*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "athena.amazonaws.com" } } } ] }
Pour d'autres exemples d'utilisation de clés de condition pour autoriser l'accès à la FAS, consultez le référentiel data perimeter example policy repo