Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour les fonctions professionnelles
Nous vous recommandons d'utiliser des politiques qui accordent le moins de privilèges ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique personnalisée contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin.
Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliserPolitiques gérées par AWS. AWS les politiques gérées couvrent les cas d'utilisation courants et sont disponibles dans votre Compte AWS. AWS les politiques gérées n'accordent pas les autorisations du moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.
Vous pouvez associer des politiques AWS gérées, y compris des fonctions de travail, à n'importe quelle identité IAM. Pour passer aux autorisations du moindre privilège, vous pouvez exécuter AWS Identity and Access Management Access Analyzer pour surveiller les principaux à l'aide de politiques AWS gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe. Cela est moins sûr, mais offre plus de flexibilité à mesure que vous apprenez comment votre équipe les utilise AWS.
AWS les politiques gérées pour les fonctions professionnelles sont conçues pour s'aligner étroitement sur les fonctions professionnelles courantes dans le secteur informatique. Vous pouvez utiliser ces politiques pour accorder les autorisations nécessaires afin d'exécuter les tâches prévues de la part quelqu'un occupant une fonction spécifique. Ces politiques regroupent les autorisations pour de nombreux services dans une seule politique plus facile à utiliser que des autorisations dispersées dans de nombreuses politiques.
Utiliser des rôles pour combiner les services
Certaines politiques utilisent des rôles de service IAM pour vous aider à tirer parti des fonctionnalités d'autres AWS services. Ces politiques accordent l'accès à un serviceiam:passrole, ce qui permet à l'utilisateur disposant de cette politique de transmettre un rôle à un AWS service. Ce rôle délègue les autorisations IAM au AWS service pour effectuer des actions en votre nom.
Vous devez créer les rôles selon vos besoins. Par exemple, la politique d'administrateur réseau permet à un utilisateur disposant de cette politique de transmettre un rôle nommé flow-logs-vpc « » au CloudWatch service Amazon. CloudWatch utilise ce rôle pour enregistrer et capturer le trafic IP pour les VPC créés par l'utilisateur.
Pour s'accorder aux meilleures pratiques de sécurité, les politiques pour les activités professionnelles incluent des filtres qui limitent les noms de rôles valides possibles à transmettre. Cela permet d'éviter d'accorder des autorisations inutiles. Si vos utilisateurs ont besoin des rôles de services facultatifs, vous devez créer un rôle qui suit la convention d'affectation de noms spécifiée dans la politique. Vous pouvez ensuite accorder des autorisations pour le rôle. L'utilisateur peut alors configurer le service pour utiliser ce rôle, et lui octroyer toutes les autorisations fournies par le rôle.
Dans les sections suivantes, chaque nom de politique comporte un lien vers la page des détails de la politique dans AWS Management Console. Vous pouvez alors consulter le document de politique et examiner les autorisations qu'il accorde.
Fonction de tâche Administrateur
AWS nom de la politique gérée : AdministratorAccess
Cas d'utilisation : cet utilisateur a un accès total et peut déléguer des autorisations à tous les services et toutes les ressources dans AWS.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique autorise toutes les actions pour tous les AWS services et pour toutes les ressources du compte. Pour plus d'informations sur la stratégie gérée, consultez le Guide AdministratorAccessde référence des politiques AWS gérées.
Note
Avant qu'un utilisateur ou un rôle IAM puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer l'accès aux utilisateurs et aux rôles IAM. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur la délégation de l'accès à la console de facturation.
Fonction de tâche Facturation
AWS nom de la politique gérée : Facturation
Cas d'utilisation : cet utilisateur a besoin d'afficher les informations de facturation, de préparer les paiements et d'autoriser les paiements. L'utilisateur peut surveiller les coûts cumulés pour l'ensemble du AWS service.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde la totalité des autorisations de gestion de la facturation, des coûts, des moyens de paiement et des rapports. Pour des exemples de politiques de gestion des coûts supplémentaires, consultez les exemples AWS Billing de politiques dans le Guide de AWS Billing and Cost Management l'utilisateur. Pour plus d'informations sur la politique gérée, consultez le Guide de référence sur la facturation dans les politiques AWS gérées.
Note
Avant qu'un utilisateur ou un rôle IAM puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer l'accès aux utilisateurs et aux rôles IAM. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur la délégation de l'accès à la console de facturation.
Fonction de tâche Administrateur de base de données
AWS nom de la politique gérée : DatabaseAdministrator
Cas d'utilisation : cet utilisateur installe, configure et gère des bases de données dans le AWS cloud.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde les autorisations de créer, configurer et gérer des bases de données. Il inclut l'accès aux services AWS de base de données, tels qu'Amazon DynamoDB, Amazon Relational Database Service (RDS) et Amazon Redshift. Consultez la politique pour la liste entière de services de base de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le Guide DatabaseAdministratorde référence des politiques AWS gérées.
Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Elle autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
Rôles de services IAM facultatifs pour la fonction d'administrateur de base de données | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | Sélectionnez cette politique AWS gérée | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permettre à l'utilisateur de surveiller des bases de données RDS | rds-monitoring-role | Rôle Amazon RDS pour la surveillance améliorée | Amazon RDS EnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permettre AWS Lambda de surveiller votre base de données et d'accéder à des bases de données externes | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser Lambda à télécharger des fichiers vers Amazon S3 et vers des clusters Amazon Redshift avec DynamoDB | lambda_exec_role |
AWS Lambda | Créer une nouvelle politique gérée, tel que défini dans l'AWS Big Data Blog |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser les fonctions Lambda à agir comme des déclencheurs pour vos tables DynamoDB | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser les fonctions Lambda à accéder à Amazon RDS dans un VPC | lambda-vpc-execution-role | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Lambda | AWSLambdaVPCAccessExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Data Pipeline Autoriser l'accès à vos AWS ressources | DataPipelineDefaultRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir les rôles IAM pour AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS | DataPipelineDefaultResourceRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | Amazon EC2 RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fonction de tâche Scientifique des données
AWS nom de la politique gérée : DataScientist
Cas d'utilisation : cet utilisateur exécute des tâches et des demandes Hadoop. L'utilisateur accède également à des informations pour l'analytique des données et la business intelligence, et analyse celles-ci.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde des autorisations pour créer, gérer et exécuter des requêtes sur un cluster Amazon EMR et pour effectuer des analyses de données avec des outils tels qu'Amazon. QuickSight La politique inclut l'accès à des services de data scientist supplémentaires AWS Data Pipeline, tels qu'Amazon EC2, Amazon Kinesis, Amazon Machine Learning et. SageMaker Consultez la politique pour la liste entière de services de scientifique de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le Guide DataScientistde référence des politiques AWS gérées.
Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Une instruction permet de transmettre n'importe quel rôle à SageMaker. Une autre instruction autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
Rôles de services IAM facultatifs pour la fonction de spécialiste des données | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser les instances Amazon EC2 à accéder aux services et aux ressources appropriés pour les clusters | EMR-EC2_ DefaultRole | Amazon EMR pour EC2 | AmazonElasticMapReduceforRôle EC2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser Amazon EMR à accéder au service et aux ressources Amazon EC2 pour les clusters | EMR_ DefaultRole | Amazon EMR | Amazon EMR _v2 ServicePolicy |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser le service géré Kinesis pour Apache Flink à accéder aux sources de données de diffusion | kinesis-* |
Créer un rôle avec une politique d'approbation, tel que défini dans l'AWS Big Data Blog |
Consultez l'AWS Big Data Blog |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Data Pipeline Autoriser l'accès à vos AWS ressources | DataPipelineDefaultRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir les rôles IAM pour AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS | DataPipelineDefaultResourceRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | Amazon EC2 RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fonction de tâche Utilisateur avec pouvoir Développeur
AWS nom de la politique gérée : PowerUserAccess
Cas d'utilisation : cet utilisateur exécute des tâches de développement d'applications et peut créer et configurer des ressources et des services qui prennent en charge le développement d'applications AWS conscientes.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : La première déclaration de cette politique utilise l'NotActionélément pour autoriser toutes les actions pour tous les AWS services et pour toutes les ressources sauf AWS Identity and Access Management AWS Organizations, et AWS Account Management. La seconde instruction accorde des autorisations IAM pour créer un rôle lié à un service. Elle est requise par certains services qui doivent accéder aux ressources d'un autre service, par exemple, un compartiment Amazon S3. Elle accorde également autorisations Organizations pour afficher des informations sur l'organisation de l'utilisateur, en particulier l'adresse e-mail du compte de gestion et les limitations de l'organisation. Bien que cette stratégie limite l'accès à IAM, Organizations, elle permet à l'utilisateur d'effectuer toutes les actions si IAM Identity Center est activé. Il accorde également à la gestion du compte des autorisations permettant de voir quelles AWS régions sont activées ou désactivées pour le compte.
Fonction de tâche Administrateur réseau
AWS nom de la politique gérée : NetworkAdministrator
Cas d'utilisation : cet utilisateur est chargé de configurer et de gérer les ressources AWS du réseau.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde des autorisations pour créer et gérer des ressources réseau dans Auto Scaling, Amazon EC2 AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing AWS Elastic Beanstalk, Amazon SNS CloudWatch, Logs CloudWatch , Amazon S3, IAM et Amazon Virtual Private Cloud. Pour plus d'informations sur la stratégie gérée, consultez le Guide NetworkAdministratorde référence des politiques AWS gérées.
Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
Rôles de services IAM facultatifs pour la fonction d'administrateur réseau | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permet à Amazon VPC de créer et de gérer les CloudWatch journaux au nom de l'utilisateur afin de surveiller le trafic IP entrant et sortant de votre VPC | flow-logs-* | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide de l'utilisateur Amazon VPC | Ce cas d'utilisation n'a pas de politique AWS gérée existante, mais la documentation répertorie les autorisations requises. Consultez le Guide de l'utilisateur Amazon VPC. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Accès en lecture seule
AWS nom de la politique gérée : ReadOnlyAccess
Cas d'utilisation : cet utilisateur nécessite un accès en lecture seule à toutes les ressources d'un Compte AWS.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : cette politique octroie les autorisations de répertorier, obtenir, décrire ou afficher les ressources et leurs attributs. Elle n'inclut pas des fonctions de mutation, telles que créer ou supprimer. Cette politique inclut l'accès en lecture seule aux AWS services liés à la sécurité, tels que et. AWS Identity and Access Management AWS Billing and Cost Management Consultez la politique pour la liste entière des services et actions que prend en charge cette politique.
Fonction de tâche Audit de sécurité
AWS nom de la politique gérée : SecurityAudit
Cas d'utilisation : cet utilisateur surveille les comptes pour vérifier leur conformité aux exigences de sécurité. Il peut accéder aux journaux et aux événements pour rechercher des brèches de sécurité potentielles ou d'éventuelles activités malveillantes.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde des autorisations pour consulter les données de configuration de nombreux AWS services et pour consulter leurs journaux. Pour plus d'informations sur la stratégie gérée, consultez le Guide SecurityAuditde référence des politiques AWS gérées.
Fonction de tâche Utilisateur support
AWS nom de la politique gérée : SupportUser
Cas d'utilisation : cet utilisateur contacte le AWS Support, crée des dossiers d'assistance et consulte l'état des dossiers existants.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde des autorisations pour créer et mettre à jour AWS Support des dossiers. Pour plus d'informations sur la stratégie gérée, consultez le Guide SupportUserde référence des politiques AWS gérées.
Fonction de tâche Administrateur système
AWS nom de la politique gérée : SystemAdministrator
Cas d'utilisation : cet utilisateur configure et gère les ressources pour les opérations de développement.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde des autorisations pour créer et gérer des ressources sur une grande variété de AWS services AWS CloudTrail, notamment Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service,, Amazon EC2,, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS et AWS Trusted Advisor Amazon VPC. Pour plus d'informations sur la stratégie gérée, consultez le Guide SystemAdministratorde référence des politiques AWS gérées.
Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Rôles de services IAM facultatifs pour la fonction d'administrateur système | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser les applications s'exécutant dans des instances EC2 d'un cluster Amazon ECS à accéder à Amazon ECS | ecr-sysadmin-* | Rôle Amazon EC2 pour EC2 Container Service | Rôle Amazon EC2 EC2 ContainerServicefor |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permettre à un utilisateur de surveiller des bases de données | rds-monitoring-role | Rôle Amazon RDS pour la surveillance améliorée | Amazon RDS EnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autorisez les applications exécutées dans des instances EC2 à accéder aux AWS ressources. | ec2-sysadmin-* | Amazon EC2 | Exemple de politique de rôle qui accorde l'accès à un compartiment S3, comme illustré dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux ; à personnaliser en fonction des besoins | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autoriser Lambda à lire les flux DynamoDB et à écrire dans les journaux CloudWatch | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fonction de tâche Utilisateur en affichage seul
AWS nom de la politique gérée : ViewOnlyAccess
Cas d'utilisation : cet utilisateur peut consulter la liste des AWS ressources et des métadonnées de base du compte pour tous les services. Il ne peut pas lire le contenu des ressources ou les metadonnées au-delà des informations de quotas et de listes des ressources.
Mises à jour de la politique : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Mises à jour des politiques AWS gérées pour les fonctions professionnelles.
Description de la politique : Cette politique accorde List*Describe*,, Get*View*, et Lookup* l'accès aux ressources pour les AWS services. Pour connaître les actions incluses dans cette politique pour chaque service, consultez ViewOnlyAccess
Mises à jour des politiques AWS gérées pour les fonctions professionnelles
Ces politiques sont toutes maintenues AWS et mises à jour pour inclure la prise en charge des nouveaux services et des nouvelles fonctionnalités au fur et à mesure qu'ils sont ajoutés par les AWS services. Elles ne peuvent pas être modifiées par les clients. Vous pouvez créer une copie de la politique, puis la modifier, mais cette copie n'est pas automatiquement mise à jour car elle AWS introduit de nouveaux services et opérations d'API.
Pour une politique de fonction de tâche, vous pouvez afficher l'historique des versions, ainsi que l'heure et la date de chaque mise à jour dans la console IAM. Pour cela, utilisez les liens sur cette page pour afficher les détails de la politique. Ensuite, choisissez l'onglet Policy versions (Versions de politique) pour afficher les versions. Cette page affiche les 25 dernières versions d'une politique. Pour afficher toutes les versions d'une politique, appelez la get-policy-version AWS CLI commande ou l'opération GetPolicyVersionAPI.
Note
Vous pouvez avoir jusqu'à cinq versions d'une politique gérée par le client, mais vous pouvez AWS conserver l'historique complet des versions des politiques AWS gérées.
