Politiques basées sur l'identité et Politiques basées sur une ressource - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques basées sur l'identité et Politiques basées sur une ressource

Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. Lorsque vous créez une politique d'autorisations pour limiter l'accès à une ressource, vous pouvez choisir une politique basée sur l'identité ou une politique basée sur les ressources.

Les politiques basées sur l'identité sont associées à un IAM utilisateur, un groupe ou un rôle. Ces politiques vous permettent de spécifier ce que peut faire cette identité (ses autorisations). Par exemple, vous pouvez joindre la politique à l'IAMutilisateur nommé John, indiquant qu'il est autorisé à effectuer l'EC2RunInstancesaction Amazon. La politique peut aussi indiquer que John est autorisé à extraire des éléments d'une table Amazon DynamoDB nommée MyCompany. Vous pouvez également autoriser John à gérer ses propres identifiants IAM de sécurité. Les politiques basées sur une identité peuvent être gérées ou en ligne.

Les politiques basées sur les ressources sont attachées à une ressource. Par exemple, vous pouvez associer des politiques basées sur les ressources aux compartiments Amazon S3, aux SQS files d'attente Amazon, aux VPC points de terminaison, aux clés de AWS Key Management Service chiffrement, ainsi qu'aux tables et aux flux Amazon DynamoDB. Pour obtenir la liste des services qui prennent en charge les politiques basées sur une ressource, consultez AWS des services qui fonctionnent avec IAM.

Avec les politiques basées sur une ressource, vous pouvez spécifier qui a accès à la ressource et quelles actions peuvent être exécutées. Pour savoir si les responsables de comptes situés en dehors de votre zone de confiance (organisation de confiance ou compte) ont accès à vos rôles, voir Qu'est-ce qu'IAMAccess Analyzer ? . Les autorisations basées sur une ressource sont en ligne uniquement, pas gérées.

Note

Les politiques basées sur les ressources diffèrent des autorisations de niveau ressource. Vous pouvez attacher directement à une ressource les politiques basées sur les ressources, comme décrit dans cette rubrique. Les autorisations au niveau des ressources font référence à la capacité à utiliser ARNspour spécifier des ressources individuelles dans une politique. Les politiques basées sur les ressources ne sont prises en charge que par certains AWS services. Pour obtenir la liste des services qui prennent en charge les politiques basées sur les ressources et les autorisations de niveau ressource, consultez AWS des services qui fonctionnent avec IAM.

Pour découvrir comment les politiques basées sur l'identité et les politiques basées sur les ressources interagissent dans un même compte, veuillez consulter Évaluation des politiques pour les demandes au sein d'un seul compte.

Pour découvrir comment les politiques interagissent entre comptes, veuillez consulter Logique d'évaluation des politiques entre comptes.

Pour mieux comprendre ces concepts, voir la figure suivante. L'administrateur des 123456789012 politiques basées sur l'identité attachée au compte pour les utilisateurs JohnSmith, CarlosSalazar et MaryMajor. Certaines actions de ces politiques peuvent être effectuées sur des ressources spécifiques. Par exemple, l'utilisateur JohnSmith peut effectuer certaines actions sur Resource X. Il s'agit d'une autorisation au niveau ressource dans une politique basée sur une identité. L'administrateur a également ajouté les politiques basées sur les ressources pour Resource X, Resource Y et Resource Z. Les politiques basées sur les ressources vous permettent de spécifier qui peut accéder à cette ressource. Par exemple, la politique basée sur les ressources sur Resource X accorde aux utilisateurs JohnSmith et MaryMajor l'accès en lecture à la ressource.

Politiques basées sur les ressources et politiques basées sur l'identité

L'exemple de compte 123456789012 autorise les utilisateurs suivants à exécuter les actions répertoriées :

  • JohnSmith— John peut exécuter des actions de liste et de lecture surResource X. Cette autorisation lui est accordée par la politique basée sur l'identité sur son utilisateur et par la politique basée sur les ressources sur Resource X.

  • CarlosSalazar— Carlos peut exécuter des actions de liste, de lecture et d'écritureResource Y, mais il n'y a pas accèsResource Z. La politique basée sur l'identité sur Carlos lui permet d'effectuer les actions d'affichage et de lecture sur Resource Y. La politique basée sur la ressource Resource Y lui accorde également les autorisations d'écriture. Cependant, même si sa politique basée sur les identités lui permet l'accès à Resource Z, la politique basée sur les ressources Resource Z lui refuse l'accès. Un Deny explicite remplace une Allow et l'accès à Resource Z est refusé. Pour de plus amples informations, veuillez consulter Logique d’évaluation de stratégies.

  • MaryMajor— Mary peut effectuer des opérations de liste, de lecture et d'écriture sur Resource XResource Y, etResource Z. Sa politique basée sur les identités lui permet plus d'actions sur plus de ressources que les politiques basées sur les ressources, mais aucune d'elles ne lui refuse l'accès.

  • ZhangWei— Zhang a un accès complet àResource Z. Zhang n'a pas de politiques basées sur l'identité, mais la politique basée sur les Resource Z ressources l'autorise un accès complet à la ressource. Zhang peut également effectuer les actions List (Liste) et Read (Lire) sur Resource Y.

Les politiques basées sur l'identité et les politiques basées sur les ressource sont les deux politiques d'autorisations et sont évaluées ensemble. Pour une demande à laquelle seules les politiques d'autorisation s'appliquent, AWS vérifiez d'abord toutes les politiques pour unDeny. Le cas échéant, la demande est refusée. Ensuite, AWS vérifie chaque Allow. Si au moins une instruction de politique autorise l'action dans la demande, la demande est autorisée. Il n'est pas important que l'Allow soit dans la politique basée sur les identités ou dans celle basée sur les ressources.

Important

Cette logique s'applique uniquement lorsque la demande est effectuée au sein d'un même Compte AWS. Pour les demandes effectuées à partir d'un compte vers un autre, le demandeur Account A doit avoir une politique basée sur une identité qui leur permet d'adresser une demande à la ressource dans Account B. En outre, la politique basée sur les ressources dans Account B doivent autoriser le demandeur dans Account A à accéder à la ressource. Il doit y avoir des politiques dans les deux comptes qui autorisent l'opération, sinon la demande échoue. Pour plus d'informations sur l'utilisation des politiques basées sur une ressource pour l'accès inter-compte, consultez Accès aux ressources entre comptes dans IAM.

Un utilisateur qui dispose d'autorisations spécifiques peut demander une ressource à laquelle une politique d'autorisation est attachée. Dans ce cas, AWS évalue les deux ensembles d'autorisations pour déterminer s'il convient d'accorder l'accès à la ressource. Pour plus d'informations sur la manière dont les politiques sont évaluées, consultez Logique d’évaluation de stratégies.

Note

Amazon S3 prend en charge les politiques basées sur l'identité et les politiques basées sur les ressources (appelées politiques de compartiment). En outre, Amazon S3 prend en charge un mécanisme d'autorisation appelé liste de contrôle d'accès (ACL) qui est indépendant des IAM politiques et des autorisations. Vous pouvez utiliser IAM des politiques en combinaison avec Amazon S3ACLs. Pour plus d’informations, veuillez consulter contrôle d'accès dans le guide de l'utilisateur du service de stockage simple Amazon.