Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises
Utilisez les informations de la section suivante pour contrôler qui peut accéder à vos utilisateurs et rôles IAM, ainsi que les ressources auxquelles vos utilisateurs et rôles peuvent accéder. Pour obtenir des informations plus générales et des exemples de contrôle de l'accès aux autres ressources AWS, y compris les autres ressources IAM, consultez Balisage des ressources IAM.
Note
Pour plus d'informations sur la sensibilité à la casse des clés de balises et les valeurs de clés de balises, consultez Case sensitivity (français non garanti).
Les balises peuvent être attachées à la ressource IAM, transmises dans la demande ou attachées au principal qui effectue la demande. Un utilisateur ou rôle IAM peut être à la fois une ressource et un principal. Par exemple, vous pouvez écrire une politique qui permet à un utilisateur de répertorier les groupes d'un utilisateur. Cette opération est autorisée uniquement si l'utilisateur effectuant la demande (le principal) a la même balise project=blue que l'utilisateur qu'il essaie de consulter. Dans cet exemple, l'utilisateur peut afficher l'appartenance au groupe de n'importe quel utilisateur, y compris lui-même, tant qu'il travaille sur le même projet.
Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'élément de condition d'une politique. Lorsque vous créez une politique IAM, vous pouvez utiliser des balises IAM et la clé de condition de balise associée pour contrôler l'accès à chacun des éléments suivants :
-
Resource (Ressource) : contrôlez l'accès aux ressources d'utilisateur ou de rôle en fonction de leurs balises. Pour ce faire, utilisez la clé de condition aws :ResourceTag/
key-namepour spécifier quelle paire clé-valeur de balise doit être attachée à la ressource. Pour plus d’informations, consultez Contrôle de l'accès aux ressources AWS. -
Request (Demande) : contrôlez les balises pouvant être transmises dans une demande IAM. Pour ce faire, utilisez la clé de condition aws :RequestTag/
key-namepour spécifier les balises qui peuvent être ajoutées, modifiées ou supprimées pour un utilisateur ou un rôle IAM. Cette clé est utilisée de la même manière pour les ressources IAM et les autres ressources AWS. Pour plus d’informations, veuillez consulter Contrôle de l'accès au cours des demandes AWS. -
Principal : contrôlez ce que la personne à l'origine de la demande (le principal) est autorisée à faire en fonction des balises qui sont attachées à l'utilisateur ou au rôle IAM de cette personne. Pour ce faire, utilisez la clé de condition aws :PrincipalTag/
key-namepour spécifier les balises qui doivent être associées à l'utilisateur ou au rôle IAM avant que la demande ne soit autorisée. -
N'importe quelle partie du processus d'autorisation : utilisez la clé de TagKeys condition aws : pour contrôler si des clés de balise spécifiques peuvent être utilisées dans une demande ou par un principal. Dans ce cas, la valeur de la clé n'importe pas. Cette clé se comporte de la même manière pour IAM et les autres AWS services. Toutefois, lorsque vous balisez un utilisateur dans IAM, cette action contrôle également si le principal peut adresser la demande à n'importe quel service. Pour plus d’informations, veuillez consulter Contrôle de l'accès en fonction des clés de balise.
Vous pouvez créer une politique IAM à l'aide de l'éditeur visuel, à l'aide de JSON ou en important une politique gérée existante. Pour plus de détails, consultez Création de politiques IAM.
Note
Vous pouvez également transmettre des balises de session lorsque vous endossez un rôle IAM ou fédérez un utilisateur. Celles-ci ne sont valides que pendant la durée de la session.
Contrôle de l'accès pour les principaux IAM
Vous pouvez contrôler ce que le principal est autorisé à faire en fonction des balises attachées à l'identité de cette personne.
Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui permet à tout utilisateur de ce compte d'afficher l'appartenance au groupe de n'importe quel utilisateur, y compris lui-même, tant qu'il travaille sur le même projet. Cette opération est autorisée uniquement lorsque la balise de ressource de l'utilisateur et la balise du principal ont la même valeur pour la clé de balise project. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:ListGroupsForUser", "Resource": "arn:aws:iam::111222333444:user/*", "Condition": { "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"} } }] }
Contrôle de l'accès en fonction des clés de balise
Vous pouvez utiliser des balises dans vos politiques IAM pour contrôler si des clés de balise spécifiques peuvent être utilisées dans une demande ou par un principal.
Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la suppression de la balise avec la clé temporary uniquement, des utilisateurs. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:UntagUser", "Resource": "*", "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}} }] }
