Choix entre les politiques gérées et les politiques en ligne - AWS Identity and Access Management
Utilisation de politiques en ligne

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choix entre les politiques gérées et les politiques en ligne

Prenez en compte vos cas d'utilisation lorsque vous devez choisir entre les politiques gérées et les politiques en ligne. Dans la plupart des cas, nous vous recommandons d'utiliser des politiques gérées plutôt que des politiques en ligne.

Note

Vous pouvez utiliser à la fois des politiques gérées et des politiques en ligne pour définir des autorisations communes et uniques pour une entité du principal.

Les politiques gérées fournissent les fonctions suivantes :

Réutilisation

Une même politique gérée peut être attachée à plusieurs entités du principal (utilisateurs, groupes et rôles). Vous pouvez créer une bibliothèque de politiques qui définissent des autorisations utiles pour vous Compte AWS, puis associer ces politiques aux entités principales selon vos besoins.

Gestion centralisée des modifications

Lorsque vous modifiez une politique gérée, le changement est appliqué à toutes les entités du principal auxquelles la politique est attachée. Par exemple, si vous souhaitez ajouter une autorisation pour une nouvelle AWS API, vous pouvez mettre à jour une politique gérée par le client ou associer une politique AWS gérée pour ajouter l'autorisation. Si vous utilisez une politique AWS gérée, AWS mettez-la à jour. Lorsqu'une stratégie gérée est mise à jour, les modifications sont appliquées à toutes les entités principales auxquelles la stratégie gérée est attachée. En revanche, pour modifier une politique intégrée, vous devez modifier individuellement chaque identité contenant la politique intégrée. Par exemple, si un groupe et un rôle contiennent tous les deux la même politique en ligne, vous devez modifier individuellement les deux entités du principal pour modifier la politique.

Versioning et restauration

Lorsque vous modifiez une politique gérée par le client, la politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. IAM stocke jusqu'à cinq versions de vos politiques gérées par le client. Vous pouvez utiliser les versions de politique pour restaurer une version antérieure, si nécessaire.

Note

Une version de politique est différente d'un élément de politique Version. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version.

Délégation de la gestion des autorisations

Vous pouvez autoriser les utilisateurs de votre site Compte AWS à joindre et à détacher des politiques tout en gardant le contrôle sur les autorisations définies dans ces politiques. Pour ce faire, vous pouvez ainsi désigner certains utilisateurs en tant qu'administrateurs disposant de droits complets, autrement dit autorisés à créer, mettre à jour et supprimer des politiques. D'autres utilisateurs peuvent ensuite être désignés en tant qu'administrateurs limitées. Ces administrateurs restreints pouvent attacher des politiques à d'autres entités du principal, mais uniquement celles que vous leur avez autorisés à attacher.

Pour plus d'informations sur la délégation de la gestion des autorisations, consultez Contrôle de l'accès aux politiques.

Limites de caractères des politiques plus grandes

La taille maximale de caractères des politiques gérées est supérieure à la taille maximale de caractères des politiques en ligne. Si vous atteignez la limite de taille de caractères pour la politique en ligne, vous pouvez créer d'autres groupes IAM et associer la politique gérée au groupe.

Pour plus d'informations sur les quotas et les limites, consultez IAMet AWS STS quotas.

Mises à jour automatiques pour les politiques AWS gérées

AWS gère les politiques AWS gérées et les met à jour lorsque cela est nécessaire, par exemple pour ajouter des autorisations pour de nouveaux AWS services, sans que vous ayez à apporter de modifications. Les mises à jour sont automatiquement appliquées aux principales entités auxquelles vous avez attaché la politique AWS gérée.

Utilisation de politiques en ligne

Les politiques intégrées sont utiles si vous souhaitez maintenir une one-to-one relation stricte entre une stratégie et l'identité à laquelle elle est appliquée. Par exemple, si vous voulez éviter que les autorisations d'une politique ne soient accidentellement affectées à une identité autre que celle à laquelle elles sont destinées. Lorsque vous utilisez une politique en ligne, ses autorisations ne peuvent pas être attachées par inadvertance à la mauvaise identité. En outre, lorsque vous utilisez le AWS Management Console pour supprimer cette identité, les politiques intégrées à l'identité sont également supprimées car elles font partie de l'entité principale.