Création de politiques de rôle IAM (console) - AWS Identity and Access Management
Création de politiques IAMCréation de politiques à l'aide de l'éditeur JSONCréation de politiques avec l'éditeur visuelImportation de politiques gérées existantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de politiques de rôle IAM (console)

Une politique est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Vous pouvez utiliser la AWS Management Console pour créer des politiques gérées par le client dans IAM. Les politiques gérées par le client sont des politiques autonomes que vous gérez dans votre propre Compte AWS. Vous pouvez ensuite attacher les politiques aux identités (utilisateurs, groupes et rôles) de votre Compte AWS.

Création de politiques IAM

Vous pouvez créer une politique gérée par le client dans AWS Management Console à l'aide de l'une des méthodes suivantes :

  • JSON — coller et personnaliser un exemple de politique basée sur l'identité publié.

  • Visual editor (Éditeur visuel) — construire intégralement une nouvelle politique dans l'éditeur visuel. Si vous utilisez l'éditeur visuel, vous n'avez pas besoin de comprendre la syntaxe JSON.

  • Import (Importation) — importer et personnaliser une politique gérée depuis votre compte. Vous pouvez importer une politique gérée par AWS ou une politique gérée par le client que vous avez créée précédemment.

Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour de plus amples informations, veuillez consulter Quotas IAM et AWS STS.

Création de politiques à l'aide de l'éditeur JSON

Vous pouvez taper ou coller des politiques dans JSON à l'aide de l'option JSON. Cette méthode est utile pour copier un exemple de politique à utiliser dans votre compte. Ou vous pouvez composer votre propre document de politique JSON dans l'éditeur JSON. Vous pouvez également utiliser l'option JSON pour basculer entre l'éditeur visuel et JSON afin de comparer les vues.

Lorsque vous créez ou modifiez une politique dans l'éditeur JSON, IAM effectue une validation de politique pour vous aider à créer une politique efficace. IAM identifie les erreurs de syntaxe JSON, tandis qu'IAM Access Analyzer fournit des vérifications de politique supplémentaires avec des recommandations pratiques pour vous aider à affiner la politique.

Un document de politique JSON est composé d'une ou plusieurs instructions. Chaque instruction doit contenir toutes les actions qui partagent le même effet (Allow ou Deny) et qui prennent en charge les mêmes ressources et conditions. Si une action nécessite que toutes les ressources soient spécifiées ("*") et qu'une autre action prend en charge l'Amazon Resource Name (ARN) d'une ressource spécifique, elles doivent se trouver dans deux instructions JSON distinctes. Pour plus d'informations sur les formats ARN, consultez Amazon Resource Name (ARN) dans le guide Références générales AWS. Pour obtenir des informations d'ordre général sur les politiques IAM, consultez Politiques et autorisations dans IAM. Pour en savoir plus sur le langage de politique IAM, consultez Référence de politique JSON IAM.

Pour utiliser l'éditeur de politique JSON afin de créer une politique

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'option JSON.

  5. Composez ou collez un document de politique JSON. Pour plus d'informations sur le langage de politique IAM, consultez Référence de politique JSON IAM.

  6. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Next (Suivant).

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  7. (Facultatif) Lorsque vous créez ou modifiez une politique dans AWS Management Console, vous pouvez générer un modèle de politique JSON ou YAML que vous utilisez dans les modèles AWS CloudFormation.

    Pour ce faire, dans l'Éditeur de politiques, choisissez Actions, puis Générer un modèle CloudFormation. Pour en savoir plus sur AWS CloudFormation, consultez la référence aux types de ressource AWS Identity and Access Management (français non garanti) dans le Guide de l'utilisateur AWS CloudFormation.

  8. Lorsque vous avez fini d'ajouter des autorisations à la politique, choisissez Suivant.

  9. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.

  10. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  11. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.

Création de politiques avec l'éditeur visuel

L'éditeur visuel de la console IAM vous guide au cours de la création d'une politique sans que vous ayez besoin d'écrire une syntaxe JSON. Pour voir un exemple d'utilisation de l'éditeur visuel pour la création d'un politique, consultez Contrôle de l'accès aux identités.

Pour utiliser l'éditeur visuel afin de créer une politique

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, trouvez la section Sélectionner un service, puis choisissez un service AWS. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services. Vous pouvez choisir un seul service par bloc d'autorisation de l'éditeur visuel. Pour accorder l'accès à plusieurs services, ajoutez de multiples blocs d'autorisation en sélectionnant Ajouter d'autres autorisations.

  5. Dans Actions autorisées, choisissez les actions à ajouter à la politique. Vous pouvez choisir des actions de différentes manières :

    • Activez la case à cocher pour toutes les actions.

    • Choisissez Ajouter des actions pour saisir le nom d'une action spécifique. Vous pouvez utiliser des caractères génériques (*) pour spécifier plusieurs actions.

    • Sélectionnez l'un des groupes de niveau Accès pour choisir toutes les actions pour le niveau d'accès (par exemple, Lecture, Écriture ou Liste).

    • Développez chacun des groupes de Niveaux d'accès pour choisir des actions individuelles.

    Par défaut, la politique que vous créez autorise les actions que vous choisissez. Pour refuser les actions choisies, sélectionnez Switch to deny permissions (Basculer vers le refus des autorisations). Le comportement par défaut d'IAM étant le refus, nous vous recommandons comme bonne pratique de sécurité de n'autoriser un utilisateur à accéder qu'aux actions et aux ressources nécessaires. Vous devez créer une instruction JSON pour refuser des autorisations seulement si vous souhaitez remplacer une autorisation séparément autorisée par une autre instruction ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.

  6. Pour Ressources, si le service et les actions que vous avez sélectionnés lors des étapes précédentes ne prennent pas en charge le choix de ressources spécifiques, toutes les ressources sont autorisées et vous ne pouvez pas modifier cette section.

    Si vous avez choisi une ou plusieurs actions qui prennent en charge les autorisations de niveau ressource, l'éditeur visuel affiche la liste de ces ressources. Vous pouvez alors développer Ressources pour spécifier les ressources de votre politique.

    Vous pouvez spécifier des ressources de la manière suivante :

    • Choisissez Ajouter des ARN pour spécifier des ressources par leur Amazon Resource Name (ARN). Vous pouvez utiliser l'éditeur visuel ARN ou répertorier les ARN manuellement. Pour de plus amples informations sur la syntaxe ARN, veuillez consulter Amazon Resource Name (ARN) dans le Guide Références générales AWS. Pour plus d'informations sur l'utilisation des ARN dans l'élément Resource d'une politique, consultez Éléments de politique JSON IAM : Resource.

    • Choisissez Toute ressource dans ce compte en regard d'une ressource pour accorder des autorisations à toutes les ressources de ce type.

    • Choisissez Toutes pour choisir toutes les ressources pour le service.

  7. (Facultatif) Choisissez Demander des conditions – facultatif pour ajouter des conditions à la politique que vous créez. Des conditions limitent l'effet d'une instruction de politique JSON. Par exemple, vous pouvez spécifier qu'un utilisateur est autorisé à effectuer des actions sur les ressources uniquement si la demande de cet utilisateur se produit au cours d'une période spécifiée. Vous pouvez également faire appel à des conditions couramment utilisées pour limiter le fait qu'un utilisateur doive être authentifié à l'aide d'un dispositif MFA (authentification multifacteur). Ou vous pouvez exiger que la demande provienne d'une certaine plage d'adresses IP. Pour obtenir la liste de tous les clés de contexte que vous pouvez utiliser dans une condition de stratégie, consultez la section Actions, ressources et clés de condition pour les services AWS dans la Référence de l'autorisation de service.

    Vous pouvez choisir des conditions de différentes manières :

    • Utilisez les cases à cocher pour sélectionner les conditions couramment utilisées.

    • Choisissez Ajouter une autre condition pour spécifier d'autres conditions. Choisissez la Clé de condition, le Qualificateur et l'Opérateur de la condition, puis saisissez une Valeur. Pour ajouter plusieurs valeurs, choisissez Ajouter. Vous pouvez considérer que les valeurs sont connectées par un opérateur logique « OU ». Lorsque vous avez fini, choisissez Ajouter une condition.

    Pour ajouter plusieurs conditions, choisissez de nouveau Ajouter une autre condition. Répétez l'opération si nécessaire. Chaque condition s'applique uniquement à ce bloc d'autorisation de l'éditeur visuel. Toutes les conditions doivent être remplies pour que le bloc d'autorisation soit considérée comme réussi. En d'autres termes, considérez les conditions comme étant connectées par un opérateur logique « ET ».

    Pour plus d'informations sur l'élément Condition, consultez Éléments de politique JSON IAM : Condition dans le document Référence de politique JSON IAM.

  8. Pour ajouter d'autres blocs d'autorisation, choisissez Ajouter d'autres autorisations. Pour chaque bloc, répétez les étapes 2 à 5.

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  9. (Facultatif) Lorsque vous créez ou modifiez une politique dans AWS Management Console, vous pouvez générer un modèle de politique JSON ou YAML que vous utilisez dans les modèles AWS CloudFormation.

    Pour ce faire, dans l'Éditeur de politiques, choisissez Actions, puis Générer un modèle CloudFormation. Pour en savoir plus sur AWS CloudFormation, consultez la référence aux types de ressource AWS Identity and Access Management (français non garanti) dans le Guide de l'utilisateur AWS CloudFormation.

  10. Lorsque vous avez fini d'ajouter des autorisations à la politique, choisissez Suivant.

  11. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour vous assurer que vous les avez accordées comme prévu.

  12. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  13. Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour plus d’informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.

Importation de politiques gérées existantes

Une manière facile de créer une nouvelle politique consiste à importer dans votre compte une politique gérée existante qui possède au moins certains des autorisations dont vous avez besoin. Vous pouvez ensuite personnaliser cette politique pour qu'elle corresponde à vos nouveaux besoins.

Vous ne pouvez pas importer une politique en ligne. Pour en savoir plus sur la différence entre les politiques gérées et les politiques en ligne, consultez Politiques gérées et politiques en ligne.

Pour importer une politique gérée existante dans l'éditeur visuel

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Dans l'Éditeur de politiques, choisissez Visuel, puis, sur le côté droit de la page, choisissez Actions, puis Importer une politique.

  5. Dans la fenêtre Importer une politique, choisissez les politiques gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle politique. Vous pouvez utiliser la zone de recherche en haut de la page pour limiter les résultats dans la liste des politiques.

  6. Choisissez Importer une politique.

    Les politiques importées sont ajoutées dans de nouveaux blocs d'autorisation au bas de votre politique.

  7. Utilisez Éditeur visuel ou choisissez JSON pour personnaliser votre politique. Sélectionnez ensuite Next (Suivant).

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  8. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vous ne pourrez plus modifier ces paramètres ultérieurement. Vérifiez les Autorisations définies dans cette politique, puis choisissez Créer une politique pour enregistrer votre travail.

Pour importer une politique gérée existante dans l'éditeur JSON

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Dans la section Éditeur de politiques, choisissez l'option JSON, puis, sur le côté droit de la page, choisissez Actions, puis Importer une politique.

  5. Dans la fenêtre Importer une politique, choisissez les politiques gérées qui correspondent le mieux à celle que vous voulez inclure dans votre nouvelle politique. Vous pouvez utiliser la zone de recherche en haut de la page pour limiter les résultats dans la liste des politiques.

  6. Choisissez Importer une politique.

    Les instructions des politiques importées sont ajoutées au bas de votre politique JSON.

  7. Personnalisez votre politique dans JSON. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Next (Suivant). Personnalisez votre politique dans JSON ou sélectionnez Visual editor (Éditeur visuel). Sélectionnez ensuite Next (Suivant).

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  8. Sur la page Vérifier et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vous ne pourrez plus modifier ces champs ultérieurement. Vérifiez la politique Autorisations définies dans cette politique, puis choisissez Créer une politique pour enregistrer votre travail.

Une fois que vous avez créé une politique, vous pouvez l'attacher à vos utilisateurs, groupes ou rôles. Pour de plus amples informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.