AWS politiques gérées pour les fonctions professionnelles - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour les fonctions professionnelles

Nous vous recommandons d'utiliser des politiques qui accordent le moins de privilèges ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique personnalisée contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin.

Pour commencer à ajouter des autorisations à vos IAM identités (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliserAWS politiques gérées. AWS les politiques gérées couvrent les cas d'utilisation courants et sont disponibles dans votre Compte AWS. AWS les politiques gérées n'accordent pas les autorisations du moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.

Vous pouvez associer des politiques AWS gérées, y compris des fonctions professionnelles, à n'importe quelle IAM identité. Pour passer aux autorisations du moindre privilège, vous pouvez exécuter AWS Identity and Access Management Access Analyzer pour surveiller les principaux à l'aide de politiques AWS gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe. Cela est moins sûr, mais offre plus de flexibilité à mesure que vous apprenez comment votre équipe utilise AWS.

AWS les politiques gérées pour les fonctions professionnelles sont conçues pour s'aligner étroitement sur les fonctions professionnelles courantes dans le secteur informatique. Vous pouvez utiliser ces politiques pour accorder les autorisations nécessaires afin d'exécuter les tâches prévues de la part quelqu'un occupant une fonction spécifique. Ces politiques regroupent les autorisations pour de nombreux services dans une seule politique plus facile à utiliser que des autorisations dispersées dans de nombreuses politiques.

Utiliser des rôles pour combiner les services

Certaines politiques utilisent des rôles IAM de service pour vous aider à tirer parti des fonctionnalités d'autres AWS services. Ces politiques accordent l'accès à un serviceiam:passrole, ce qui permet à l'utilisateur disposant de cette politique de transmettre un rôle à un AWS service. Ce rôle délègue les IAM autorisations au AWS service pour effectuer des actions en votre nom.

Vous devez créer les rôles selon vos besoins. Par exemple, la politique d'administrateur réseau permet à un utilisateur disposant de cette politique de transmettre un rôle nommé flow-logs-vpc « » au CloudWatch service Amazon. CloudWatch utilise ce rôle pour enregistrer et capturer le trafic IP VPCs créé par l'utilisateur.

Pour s'accorder aux meilleures pratiques de sécurité, les politiques pour les activités professionnelles incluent des filtres qui limitent les noms de rôles valides possibles à transmettre. Cela permet d'éviter d'accorder des autorisations inutiles. Si vos utilisateurs ont besoin des rôles de services facultatifs, vous devez créer un rôle qui suit la convention d'affectation de noms spécifiée dans la politique. Vous pouvez ensuite accorder des autorisations pour le rôle. L'utilisateur peut alors configurer le service pour utiliser ce rôle, et lui octroyer toutes les autorisations fournies par le rôle.

Dans les sections suivantes, chaque nom de politique comporte un lien vers la page des détails de la politique dans AWS Management Console. Vous pouvez alors consulter le document de politique et examiner les autorisations qu'il accorde.

Fonction de tâche Administrateur

AWS nom de la politique gérée : AdministratorAccess

Cas d'utilisation : cet utilisateur a un accès total et peut déléguer des autorisations à tous les services et toutes les ressources dans AWS.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique autorise toutes les actions pour tous les AWS services et pour toutes les ressources du compte. Pour plus d'informations sur la stratégie gérée, consultez le Guide AdministratorAccessde référence des politiques AWS gérées.

Note

Avant qu'un IAM utilisateur ou un rôle puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer IAM l'accès utilisateur et rôle. Pour ce faire, suivez les instructions de la section Autoriser l'accès à la console de facturation pour déléguer l'accès à la console de facturation.

Fonction de tâche Facturation

AWS nom de la politique gérée : Facturation

Cas d'utilisation : cet utilisateur a besoin d'afficher les informations de facturation, de préparer les paiements et d'autoriser les paiements. L'utilisateur peut surveiller les coûts cumulés pour l'ensemble du AWS service.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde la totalité des autorisations de gestion de la facturation, des coûts, des moyens de paiement et des rapports. Pour des exemples de politiques de gestion des coûts supplémentaires, consultez les exemples AWS Billing de politiques dans le Guide de AWS Billing and Cost Management l'utilisateur. Pour plus d'informations sur la politique gérée, consultez le Guide de référence sur la facturation dans les politiques AWS gérées.

Note

Avant qu'un IAM utilisateur ou un rôle puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer IAM l'accès utilisateur et rôle. Pour ce faire, suivez les instructions de la section Autoriser l'accès à la console de facturation pour déléguer l'accès à la console de facturation.

Fonction de tâche Administrateur de base de données

AWS nom de la politique gérée : DatabaseAdministrator

Cas d'utilisation : cet utilisateur installe, configure et gère des bases de données dans le AWS cloud.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde les autorisations de créer, configurer et gérer des bases de données. Cela inclut l'accès aux services AWS de base de données, tels qu'Amazon DynamoDB, Amazon Relational Database RDS Service () et Amazon Redshift. Consultez la politique pour la liste entière de services de base de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le Guide DatabaseAdministratorde référence des politiques AWS gérées.

Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Elle autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.

Cas d’utilisation Nom de rôle (* correspond à un caractère générique) Type de rôle de service à sélectionner Sélectionnez cette politique AWS gérée
Autoriser l'utilisateur à surveiller les RDS bases de données rds-monitoring-role Amazon RDS Role pour une surveillance améliorée UN mazonRDSEnhanced MonitoringRole
Permettre AWS Lambda de surveiller votre base de données et d'accéder à des bases de données externes rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Autoriser Lambda à télécharger des fichiers vers Amazon S3 et vers des clusters Amazon Redshift avec DynamoDB lambda_exec_role AWS Lambda Créer une nouvelle politique gérée, tel que défini dans l'AWS Big Data Blog
Autoriser les fonctions Lambda à agir comme des déclencheurs pour vos tables DynamoDB lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Autoriser les fonctions Lambda à accéder à Amazon RDS dans un VPC lambda-vpc-execution-role Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Lambda AWSLambdaVPCAccessExecutionRole
AWS Data Pipeline Autoriser l'accès à vos AWS ressources DataPipelineDefaultRole Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir IAMles rôles pour AWS Data Pipeline
Autorisez vos applications exécutées sur des EC2 instances Amazon à accéder à vos AWS ressources DataPipelineDefaultResourceRole Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline Amazon EC2RoleforDataPipelineRole

Fonction de tâche Scientifique des données

AWS nom de la politique gérée : DataScientist

Cas d'utilisation : cet utilisateur exécute des tâches et des demandes Hadoop. L'utilisateur accède également à des informations pour l'analytique des données et la business intelligence, et analyse celles-ci.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde des autorisations pour créer, gérer et exécuter des requêtes sur un EMR cluster Amazon et pour effectuer des analyses de données avec des outils tels qu'Amazon QuickSight. La politique inclut l'accès à des services de data scientist supplémentaires AWS Data Pipeline, tels qu'AmazonEC2, Amazon Kinesis, Amazon Machine Learning et. SageMaker Consultez la politique pour la liste entière de services de scientifique de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le Guide DataScientistde référence des politiques AWS gérées.

Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Une instruction permet de transmettre n'importe quel rôle à SageMaker. Une autre instruction autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.

Cas d’utilisation Nom de rôle (* correspond à un caractère générique) Type de rôle de service à sélectionner AWS politique gérée à sélectionner
Permettre aux EC2 instances Amazon d'accéder aux services et aux ressources adaptés aux clusters EMR-EC2_DefaultRole Amazon EMR pour EC2 AmazonElasticMapReduceforEC2Role
Autoriser Amazon à EMR accéder au EC2 service Amazon et aux ressources pour les clusters EMR_DefaultRole Amazon EMR Une mazonEMRService Policy_V2
Autoriser le service géré Kinesis pour Apache Flink à accéder aux sources de données de diffusion kinesis-* Créer un rôle avec une politique d'approbation, tel que défini dans l'AWS Big Data Blog. Consultez l'AWS Big Data Blog, qui définit les quatre options possibles en fonction de votre cas d'utilisation.
AWS Data Pipeline Autoriser l'accès à vos AWS ressources DataPipelineDefaultRole Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir IAMles rôles pour AWS Data Pipeline
Autorisez vos applications exécutées sur des EC2 instances Amazon à accéder à vos AWS ressources DataPipelineDefaultResourceRole Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline Amazon EC2RoleforDataPipelineRole

Fonction de tâche Utilisateur avec pouvoir Développeur

AWS nom de la politique gérée : PowerUserAccess

Cas d'utilisation : cet utilisateur exécute des tâches de développement d'applications et peut créer et configurer des ressources et des services qui prennent en charge le développement d'applications AWS conscientes.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : La première déclaration de cette politique utilise l'NotActionélément pour autoriser toutes les actions pour tous les AWS services et pour toutes les ressources sauf AWS Identity and Access Management AWS Organizations, et AWS Account Management. La deuxième déclaration accorde l'IAMautorisation de créer un rôle lié à un service. Elle est requise par certains services qui doivent accéder aux ressources d'un autre service, par exemple, un compartiment Amazon S3. Elle accorde également autorisations Organizations pour afficher des informations sur l'organisation de l'utilisateur, en particulier l'adresse e-mail du compte de gestion et les limitations de l'organisation. Bien que cette politique limite les OrganisationsIAM, elle permet à l'utilisateur d'effectuer toutes les actions IAM d'Identity Center si IAM Identity Center est activé. Il accorde également à la gestion du compte des autorisations permettant de voir quelles AWS régions sont activées ou désactivées pour le compte.

Fonction de tâche Administrateur réseau

AWS nom de la politique gérée : NetworkAdministrator

Cas d'utilisation : cet utilisateur est chargé de configurer et de gérer les ressources AWS du réseau.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde des autorisations pour créer et gérer des ressources réseau dans Auto Scaling EC2 AWS Direct Connect, Amazon, Route 53 CloudFront, Amazon, Elastic Load Balancing AWS Elastic Beanstalk SNS CloudWatch, Amazon, CloudWatch LogsIAM, Amazon S3 et Amazon Virtual Private Cloud. Pour plus d'informations sur la stratégie gérée, consultez le Guide NetworkAdministratorde référence des politiques AWS gérées.

Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.

Cas d’utilisation Nom de rôle (* correspond à un caractère générique) Type de rôle de service à sélectionner AWS politique gérée à sélectionner
Permet VPC à Amazon de créer et de gérer des CloudWatch journaux pour le compte de l'utilisateur afin de surveiller le trafic IP entrant et sortant de votre VPC flow-logs-* Créez un rôle avec une politique de confiance telle que définie dans le guide de VPC l'utilisateur Amazon Ce cas d'utilisation n'a pas de politique AWS gérée existante, mais la documentation répertorie les autorisations requises. Consultez le guide de VPC l'utilisateur Amazon.

Accès en lecture seule

AWS nom de la politique gérée : ReadOnlyAccess

Cas d'utilisation : cet utilisateur nécessite un accès en lecture seule à toutes les ressources d'un Compte AWS.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : cette politique octroie les autorisations de répertorier, obtenir, décrire ou afficher les ressources et leurs attributs. Elle n'inclut pas des fonctions de mutation, telles que créer ou supprimer. Cette politique inclut l'accès en lecture seule aux AWS services liés à la sécurité, tels que et. AWS Identity and Access Management AWS Billing and Cost Management Consultez la politique pour la liste entière des services et actions que prend en charge cette politique.

Fonction de tâche Audit de sécurité

AWS nom de la politique gérée : SecurityAudit

Cas d'utilisation : cet utilisateur surveille les comptes pour vérifier leur conformité aux exigences de sécurité. Il peut accéder aux journaux et aux événements pour rechercher des brèches de sécurité potentielles ou d'éventuelles activités malveillantes.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde des autorisations pour consulter les données de configuration de nombreux AWS services et pour consulter leurs journaux. Pour plus d'informations sur la stratégie gérée, consultez le Guide SecurityAuditde référence des politiques AWS gérées.

Fonction de tâche Utilisateur support

AWS nom de la politique gérée : SupportUser

Cas d'utilisation : cet utilisateur contacte le AWS Support, crée des dossiers d'assistance et consulte l'état des dossiers existants.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde des autorisations pour créer et mettre à jour AWS Support des dossiers. Pour plus d'informations sur la stratégie gérée, consultez le Guide SupportUserde référence des politiques AWS gérées.

Fonction de tâche Administrateur système

AWS nom de la politique gérée : SystemAdministrator

Cas d'utilisation : cet utilisateur configure et gère les ressources pour les opérations de développement.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde des autorisations pour créer et gérer des ressources sur une grande variété de AWS services AWS CloudTrail CloudWatch AWS CodeCommit, notamment Amazon AWS CodeDeploy, AWS Config, AWS Directory Service,EC2,, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, AmazonRDS, Route 53, Amazon S3, AmazonSES, Amazon SQS AWS Trusted Advisor, Amazon et AmazonVPC. Pour plus d'informations sur la stratégie gérée, consultez le Guide SystemAdministratorde référence des politiques AWS gérées.

Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Cas d’utilisation Nom de rôle (* correspond à un caractère générique) Type de rôle de service à sélectionner AWS politique gérée à sélectionner
Autoriser les applications exécutées dans EC2 des instances d'un ECS cluster Amazon à accéder à Amazon ECS ecr-sysadmin-* Amazon EC2 Role pour EC2 Container Service Amazon EC2ContainerServiceforEC2Role
Permettre à un utilisateur de surveiller des bases de données rds-monitoring-role Amazon RDS Role pour une surveillance améliorée UN mazonRDSEnhanced MonitoringRole
Autorisez les applications exécutées dans EC2 des instances à accéder aux AWS ressources. ec2-sysadmin-* Amazon EC2 Exemple de politique pour un rôle qui accorde l'accès à un compartiment S3, comme indiqué dans le guide de EC2 l'utilisateur Amazon ; personnalisez-le selon vos besoins
Autoriser Lambda à lire les flux DynamoDB et à écrire dans les journaux CloudWatch lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

Fonction de tâche Utilisateur en affichage seul

AWS nom de la politique gérée : ViewOnlyAccess

Cas d'utilisation : cet utilisateur peut consulter la liste des AWS ressources et des métadonnées de base du compte pour tous les services. Il ne peut pas lire le contenu des ressources ou les metadonnées au-delà des informations de quotas et de listes des ressources.

Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, consultez la politique dans la IAM console, puis sélectionnez l'onglet Versions des politiques. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.

Description de la politique : Cette politique accorde List*Describe*,, Get*View*, et Lookup* l'accès aux ressources pour les AWS services. Pour connaître les actions incluses dans cette politique pour chaque service, consultez ViewOnlyAccess. Pour plus d'informations sur la stratégie gérée, consultez le Guide ViewOnlyAccessde référence des politiques AWS gérées.

Mises à jour des politiques AWS gérées pour les fonctions professionnelles

Ces politiques sont toutes maintenues AWS et mises à jour pour inclure la prise en charge des nouveaux services et des nouvelles fonctionnalités au fur et à mesure qu'ils sont ajoutés par les AWS services. Elles ne peuvent pas être modifiées par les clients. Vous pouvez créer une copie de la politique, puis la modifier, mais cette copie n'est pas automatiquement mise à jour car elle AWS introduit de nouveaux services et API opérations.

Pour une politique de fonction de travail, vous pouvez consulter l'historique des versions ainsi que l'heure et la date de chaque mise à jour dans la IAM console. Pour cela, utilisez les liens sur cette page pour afficher les détails de la politique. Ensuite, choisissez l'onglet Policy versions (Versions de politique) pour afficher les versions. Cette page affiche les 25 dernières versions d'une politique. Pour afficher toutes les versions d'une politique, appelez la get-policy-version AWS CLI commande ou l'GetPolicyVersionAPIopération.

Note

Vous pouvez avoir jusqu'à cinq versions d'une politique gérée par le client, mais vous pouvez AWS conserver l'historique complet des versions des politiques AWS gérées.