Création de politiques de rôle IAM (console) - AWS Identity and Access Management

Création de politiques de rôle IAM (console)

Une politique est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser la AWS Management Console pour créer des politiques gérées par le client dans IAM. Les stratégies gérées par le client sont des stratégies autonomes que vous gérez dans votre propre compte AWS. Vous pouvez ensuite attacher les stratégies aux identités (utilisateurs, groupes et rôles) de votre compte AWS.

Création de politiques IAM

Vous pouvez créer une politique gérée par le client dans AWS Management Console à l'aide de l'une des méthodes suivantes :

  • JSON — coller et personnaliser un exemple de politique basée sur l'identité publié.

  • Visual editor (Éditeur visuel) — construire intégralement une nouvelle politique dans l'éditeur visuel. Si vous utilisez l'éditeur visuel, vous n'avez pas besoin de comprendre la syntaxe JSON.

  • Import (Importation) — importer et personnaliser une politique gérée depuis votre compte. Vous pouvez importer une politique gérée par AWS ou une politique gérée par le client que vous avez créée précédemment.

Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter IAM et quotas AWS STS, exigences relatives aux noms et limites de caractères.

Création de politiques dans l'onglet JSON

Vous pouvez saisir ou coller des politiques dans JSON en choisissant l'onglet JSON. Cette méthode est utile pour copier un exemple de politique à utiliser dans votre compte. Ou vous pouvez composer votre propre document de politique JSON dans l'éditeur JSON. Vous pouvez également utiliser l'onglet JSON pour basculer entre l'éditeur visuel et JSON afin de comparer les vues.

Lorsque vous créez ou modifiez une politique dans l'éditeur JSON, IAM effectue une validation de politique pour vous aider à créer une politique efficace. IAM identifie les erreurs de syntaxe JSON, tandis qu'IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pratiques pour vous aider à affiner la politique.

Un document de politique JSON est composé d'une ou plusieurs instructions. Chaque instruction doit contenir toutes les actions qui partagent le même effet (Allow ou Deny) et qui prennent en charge les mêmes ressources et conditions. Si une action nécessite que toutes les ressources soient spécifiées ("*") et qu'une autre action prend en charge l'Amazon Resource Name (ARN) d'une ressource spécifique, elles doivent se trouver dans deux instructions JSON distinctes. Pour plus d'informations sur les formats ARN, consultez Amazon Resource Name (ARN) dans le Guide de référence générale AWS. Pour obtenir des informations d'ordre général sur les politiques IAM, consultez Politiques et autorisations dans IAM. Pour en savoir plus sur le langage de politique IAM, consultez Référence de politique JSON IAM.

Pour utiliser l'éditeur de politique JSON afin de créer une politique

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Choisissez l'onglet JSON.

  5. Composez ou collez un document de politique JSON. Pour plus d'informations sur le langage de politique IAM, consultez Référence de politique JSON IAM.

  6. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Review policy (Examiner une politique).

    Note

    Vous pouvez basculer à tout moment entre les onglets Visual editor (Éditeur visuel) et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Next: Tags (Suivant : balises) sous l'onglet Visual editor (Éditeur visuel), IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  7. Lorsque vous avez terminé, choisissez Next: Tags (Suivant : balises).

    (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  8. Dans la page Examiner une politique, entrez un nom et une description (facultatif) pour la politique que vous êtes en train de créer. Vérifiez le récapitulatif de politique pour voir les autorisations accordées par votre politique. Choisissez ensuite Créer une politique pour enregistrer votre travail.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.

Création de politiques avec l'éditeur visuel

L'éditeur visuel de la console IAM vous guide au cours de la création d'une politique sans que vous ayez besoin d'écrire une syntaxe JSON. Pour voir un exemple d'utilisation de l'éditeur visuel pour la création d'un politique, consultez Contrôle de l'accès aux identités.

Pour utiliser l'éditeur visuel afin de créer une politique

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Sous l'onglet Éditeur visuel, choisissez Choisir un service, puis sélectionnez un service AWS. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services. Vous pouvez choisir un seul service par bloc d'autorisation de l'éditeur visuel. Pour accorder l'accès à plusieurs services, ajoutez plusieurs blocs d'autorisation en sélectionnant Add additional permissions (Ajouter des autorisations supplémentaires).

  5. Pour Actions, choisissez les actions à ajouter à la politique. Vous pouvez choisir des actions de différentes manières :

    • Activez la case à cocher pour toutes les actions.

    • Choisissez Ajouter des actions pour saisir le nom d'une action spécifique. Vous pouvez utiliser des caractères génériques (*) pour spécifier plusieurs actions.

    • Sélectionnez l'un des groupes de niveau Accès pour choisir toutes les actions pour le niveau d'accès (par exemple, Lecture, Écriture ou Liste).

    • Développez chacun des groupes de Niveaux d'accès pour choisir des actions individuelles.

    Par défaut, la politique que vous créez autorise les actions que vous choisissez. Pour refuser les actions choisies, sélectionnez Switch to deny permissions (Basculer vers le refus des autorisations). Le comportement par défaut d'IAM étant le refus, nous vous recommandons comme bonne pratique de sécurité de n'autoriser un utilisateur à accéder qu'aux actions et aux ressources nécessaires. Vous devez créer une instruction JSON pour refuser des autorisations seulement si vous souhaitez remplacer une autorisation séparément autorisée par une autre instruction ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.

  6. Pour Ressources, si le service et les actions que vous avez sélectionnés lors des étapes précédentes ne prennent pas en charge le choix de ressources spécifiques, toutes les ressources sont autorisées et vous ne pouvez pas modifier cette section.

    Si vous avez choisi une ou plusieurs actions qui prennent en charge les autorisations de niveau ressource, l'éditeur visuel affiche la liste de ces ressources. Vous pouvez alors développer Ressources pour spécifier les ressources de votre politique.

    Vous pouvez spécifier des ressources de la manière suivante :

    • Choisissez Ajouter un ARN pour spécifier des ressources par leur Amazon Resource Name (ARN). Vous pouvez utiliser l'éditeur visuel ARN ou répertorier les ARN manuellement. Pour de plus amples informations sur la syntaxe ARN, veuillez consulter Amazon Resource Name (ARN) dans le Guide de référence générale AWS. Pour plus d'informations sur l'utilisation des ARN dans l'élément Resource d'une politique, consultez Éléments de politique JSON IAM : Resource.

    • Choisissez Tout en regard d'une ressource pour accorder des autorisations à toutes les ressources de ce type.

    • Sélectionnez Toutes les ressources pour choisir toutes les ressources pour ce service.

  7. (Facultatif) Choisissez Specify request conditions (optional) (Spécifier des conditions de demande (facultatif)) pour ajouter des conditions à la politique que vous êtes en train de créer. Des conditions limitent l'effet d'une instruction de politique JSON. Par exemple, vous pouvez spécifier qu'un utilisateur est autorisé à effectuer des actions sur les ressources uniquement si la demande de cet utilisateur se produit au cours d'une période spécifiée. Vous pouvez également faire appel à des conditions couramment utilisées pour limiter le fait qu'un utilisateur doive être authentifié à l'aide d'un dispositif MFA (authentification multifacteur). Ou vous pouvez exiger que la demande provienne d'une certaine plage d'adresses IP. Pour obtenir la liste de toutes les clés de contexte que vous pouvez utiliser dans une condition de politique, consultez Actions, ressources et clés de condition pour les services AWS.

    Vous pouvez choisir des conditions de différentes manières :

    • Utilisez les cases à cocher pour sélectionner les conditions couramment utilisées.

    • Choisissez Ajouter une condition pour spécifier d'autres conditions. Choisissez la Clé de condition, le Qualificateur et l'Opérateur de la condition, puis saisissez une Valeur. Pour ajouter plusieurs valeurs, choisissez Add new value (Ajouter une nouvelle valeur). Vous pouvez considérer que les valeurs sont connectées par un opérateur logique « OU ». Lorsque vous avez terminé, choisissez Ajouter.

    Pour ajouter plusieurs conditions, choisissez à nouveau Ajouter une condition. Répétez l'opération si nécessaire. Chaque condition s'applique uniquement à ce bloc d'autorisation de l'éditeur visuel. Toutes les conditions doivent être remplies pour que le bloc d'autorisation soit considérée comme réussi. En d'autres termes, considérez les conditions comme étant connectées par un opérateur logique « ET ».

    Pour plus d'informations sur l'élément Condition, consultez Éléments de politique JSON IAM : Condition dans le document Référence de politique JSON IAM.

  8. Pour ajouter d'autres blocs d'autorisation, choisissez Add additional permissions (Ajouter des autorisations supplémentaires). Pour chaque bloc, répétez les étapes 2 à 5.

    Note

    Vous pouvez basculer à tout moment entre les onglets Visual editor (Éditeur visuel) et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Next: Tags (Suivant : balises) sous l'onglet Visual editor (Éditeur visuel), IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  9. Lorsque vous avez terminé, choisissez Next: Tags (Suivant : balises).

    (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  10. Lorsque vous avez terminé, choisissez Next: Review.

  11. Dans la page Examiner une politique, entrez un nom et une description (facultatif) pour la politique que vous êtes en train de créer. Passez en revue le récapitulatif de politique pour vous assurer que vous avez accordé les autorisations souhaitées, puis choisissez Créer une politique pour enregistrer votre nouvelle politique.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.

Importation de politiques gérées existantes

Une manière facile de créer une nouvelle politique consiste à importer dans votre compte une politique gérée existante qui possède au moins certains des autorisations dont vous avez besoin. Vous pouvez ensuite personnaliser cette politique pour qu'elle corresponde à vos nouveaux besoins.

Vous ne pouvez pas importer une politique en ligne. Pour en savoir plus sur la différence entre les politiques gérées et les politiques en ligne, consultez Politiques gérées et politiques en ligne.

Pour importer une politique gérée existante dans l'éditeur visuel

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Choisissez l'onglet Éditeur visuel, puis Import managed policy (Importer une politique gérée) dans la partie droite de la page.

  5. Dans la fenêtre Import managed policies (Importer des stratégies gérées), choisissez les stratégies gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle stratégie. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des stratégies.

  6. Choisissez Import (Importer).

    Les politiques importées sont ajoutées dans de nouveaux blocs d'autorisation au bas de votre politique.

  7. Utilisez Éditeur visuel ou choisissez JSON pour personnaliser votre politique. Sélectionnez ensuite Examiner une politique.

    Note

    Vous pouvez basculer à tout moment entre les onglets Visual editor (Éditeur visuel) et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Editeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  8. Dans la page Vérification, entrez un nom et une description (facultatif) pour la politique que vous êtes en train de créer. Vous ne pourrez plus modifier ces paramètres ultérieurement. Vérifiez le Récapitulatif de la politique, puis choisissez Créer une politique pour enregistrer votre travail.

Pour importer une stratégie gérée existante dans l'onglet JSON

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Choisissez l'onglet JSON, puis Import managed policy (Importer une politique gérée) dans la partie droite de la page.

  5. Dans la fenêtre Import managed policies (Importer des stratégies gérées), choisissez les stratégies gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle stratégie. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des stratégies.

  6. Choisissez Import (Importer).

    Les instructions des politiques importées sont ajoutées au bas de votre politique JSON.

  7. Personnalisez votre politique dans JSON. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Review policy (Examiner une politique). Personnalisez votre politique dans JSON ou sélectionnez Visual editor (Éditeur visuel). Sélectionnez ensuite Examiner une politique.

    Note

    Vous pouvez basculer à tout moment entre les onglets Visual editor (Éditeur visuel) et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Editeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  8. Dans la page Examiner une politique, entrez un nom et une description (facultatif) pour la politique que vous êtes en train de créer. Vous ne pourrez plus modifier ces champs ultérieurement. Vérifiez le Récapitulatif de la politique, puis choisissez Créer une politique pour enregistrer votre travail.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d'informations, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.