Création des rôles et association des politiques (console) - AWS Gestion de l’identité et des accès
Exemple 1 : Configuration d'un utilisateur en tant qu'administrateur de base de données (console)Exemple 2 : Configuration d'un utilisateur en tant qu'administrateur réseau (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création des rôles et association des politiques (console)

Plusieurs des politiques répertoriées précédemment permettent de configurer des AWS services avec des rôles qui permettent à ces services d'effectuer des opérations en votre nom. Les politiques de fonctions professionnelles spécifient les noms de rôles exacts à utiliser ou incluent au moins un préfixe qui indique la première partie du nom qui peut être utilisé. Pour créer un de ces rôles, suivez les étapes de la procédure ci-dessous.

Pour créer un rôle pour une Service AWS (IAMconsole)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  3. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

  4. Pour Service ou cas d'utilisation, choisissez un service, puis choisissez le cas d'utilisation. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation nécessaire au service.

  5. Choisissez Suivant.

  6. Pour les politiques d'autorisations, les options dépendent du cas d'utilisation que vous avez sélectionné :

    • Si le service définit les autorisations pour le rôle, vous ne pouvez pas sélectionner de politiques d'autorisation.

    • Choisissez parmi un ensemble limité de politiques d'autorisation.

    • Choisissez parmi toutes les politiques d'autorisation.

    • Sélectionnez aucune politique d'autorisation, créez les politiques une fois le rôle créé, puis associez les politiques au rôle.

  7. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

    1. Ouvrez la section Définir les limites des autorisations, puis choisissez Utiliser une limite d'autorisations pour contrôler le nombre maximal d'autorisations de rôle.

      IAMinclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

    2. Sélectionnez la politique à utiliser comme limite d'autorisations.

  8. Choisissez Suivant.

  9. Pour le nom du rôle, les options dépendent du service :

    • Si le service définit le nom du rôle, vous ne pouvez pas le modifier.

    • Si le service définit un préfixe pour le nom du rôle, vous pouvez saisir un suffixe facultatif.

    • Si le service ne définit pas le nom du rôle, vous pouvez le nommer.

      Important

      Lorsque vous nommez un rôle, tenez compte des points suivants :

      • Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.

        Par exemple, ne créez pas de rôles nommés à la fois PRODROLE etprodrole. Lorsqu'un nom de rôle est utilisé dans une politique ou dans le cadre d'une politiqueARN, le nom du rôle distingue les majuscules et minuscules, mais lorsqu'un nom de rôle apparaît aux clients dans la console, par exemple pendant le processus de connexion, le nom du rôle ne distingue pas les majuscules et minuscules.

      • Vous ne pouvez pas modifier le nom du rôle une fois qu'il a été créé car d'autres entités peuvent y faire référence.

  10. (Facultatif) Dans Description, entrez une description pour le rôle.

  11. (Facultatif) Pour modifier les cas d'utilisation et les autorisations du rôle, dans les sections Étape 1 : Sélection des entités de confiance ou Étape 2 : Ajouter des autorisations, choisissez Modifier.

  12. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez les IAMressources relatives au balisage dans le guide de l'IAMutilisateur.

  13. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Exemple 1 : Configuration d'un utilisateur en tant qu'administrateur de base de données (console)

Cet exemple montre les étapes nécessaires pour configurer Alice, une IAM utilisateur, en tant qu'administratrice de base de données. Vous utilisez les informations de la première ligne du tableau de cette section et vous autorisez l'utilisateur à activer la RDS surveillance Amazon. Vous attachez la DatabaseAdministratorpolitique à l'IAMutilisateur d'Alice afin qu'il puisse gérer les services de base de données Amazon. Cette politique permet également à Alice de transmettre un rôle appelé rds-monitoring-role au RDS service Amazon qui permet au service de surveiller les RDS bases de données Amazon en son nom.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Politiques, tapez database dans la zone de recherche, puis appuyez sur Entrée.

  3. Sélectionnez le bouton radio correspondant à la DatabaseAdministratorpolitique, choisissez Actions, puis choisissez Joindre.

  4. Dans la liste des utilisateurs, sélectionnez Alice, puis choisissez Attacher la politique. Alice peut désormais administrer des AWS bases de données. Cependant, pour permettre à Alice de surveiller ces bases de données, vous devez configurer le rôle du service.

  5. Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  6. Choisissez le type de rôle de AWS service, puis Amazon RDS.

  7. Choisissez le cas d'utilisation Amazon RDS Role for Enhanced Monitoring.

  8. Amazon RDS définit les autorisations associées à votre rôle. Choisissez Suivant : Vérification pour continuer.

  9. Le nom du rôle doit être l'un de ceux spécifiés par la DatabaseAdministrator politique actuelle d'Alice. L'un de ces noms est rds-monitoring-role. Saisissez ceci pour le Role name (Nom du rôle).

  10. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  11. Après avoir passé en revue les détails, choisissez Créer un rôle.

  12. Alice peut désormais activer la surveillance RDS améliorée dans la section Surveillance de la RDS console Amazon. Par exemple, elle peut utiliser cette fonction lorsqu'elle crée une instance de base de données ou qu'elle crée un réplica en lecture, ou quand elle modifie une instance de base de données. Ils doivent saisir le nom du rôle qu'ils ont créé (rds-monitoring-role) dans le champ Rôle de surveillance lorsqu'ils définissent Activer la surveillance améliorée sur Oui.

Exemple 2 : Configuration d'un utilisateur en tant qu'administrateur réseau (console)

Cet exemple montre les étapes nécessaires pour configurer Jorge, un IAM utilisateur, en tant qu'administrateur réseau. Il utilise les informations du tableau de cette section pour permettre à Jorge de surveiller le trafic IP à destination et en provenance d'unVPC. Cela permet également à Jorge de capturer ces informations dans les journaux de CloudWatch Logs. Vous attachez la NetworkAdministratorpolitique à IAM l'utilisateur de Jorge afin qu'il puisse configurer les ressources AWS du réseau. Cette politique permet également à Jorge de transmettre un rôle dont le nom commence par flow-logs* à Amazon EC2 lorsque vous créez un journal de flux. Dans ce scénario, à la différence de l'exemple 1, il n'y a aucun type de rôle de service prédéfini. Vous devez donc procéder différemment pour certaines étapes.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques, puis saisissez network dans la zone de recherche et appuyez sur Entrée.

  3. Sélectionnez le bouton radio à côté de NetworkAdministratorla politique, choisissez Actions, puis choisissez Joindre.

  4. Dans la liste des utilisateurs, cochez la case en regard de Juan, puis choisissez Attach policy (Attacher la politique). Jorge peut désormais administrer les ressources AWS du réseau. Toutefois, pour activer la surveillance du trafic IP sur votre siteVPC, vous devez configurer le rôle de service.

  5. Comme le rôle de service à créer n'a pas de politique gérée prédéfinie, il doit d'abord être créé. Dans le panneau de navigation, sélectionnez Politicies (Politiques), puis Create policy (Créer une politique).

  6. Dans la section Éditeur de politiques, choisissez l'JSONoption et copiez le texte du document de JSON stratégie suivant. Collez ce texte dans la zone de JSONtexte. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

    Note

    Vous pouvez basculer entre les options Visual et celles de JSONl'éditeur à tout moment. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, vous IAM pouvez restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  8. Sur la page Vérifier et créer, tapez vpc-flow-logs-policy-for-service-role pour le nom de la politique. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique, puis choisissez Créer une politique pour enregistrer votre travail.

    La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

  9. Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  10. Choisissez le type de rôle de AWS service, puis Amazon EC2.

  11. Choisissez le cas d'EC2utilisation d'Amazon.

  12. Sur la page Joindre des politiques d'autorisation, choisissez la politique que vous avez créée précédemmentfor-service-role, vpc-flow-logs-policy-, puis choisissez Suivant : Réviser.

  13. Le nom du rôle doit être autorisé par la NetworkAdministrator politique actuelle de Jorge. Tout nom qui commence par flow-logs- est autorisé. Pour cet exemple, saisissez flow-logs-for-jorge comme Role name (Nom du rôle).

  14. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  15. Après avoir passé en revue les détails, choisissez Créer un rôle.

  16. Vous pouvez désormais configurer la politique d'approbation nécessaire pour ce scénario. Sur la page Rôles, choisissez le flow-logs-for-jorgerôle (le nom, pas la case à cocher). Sur la page des détails de votre nouveau rôle, choisissez l'onglet Relations d'approbation, puis choisissez Modifier la relation d'approbation.

  17. Modifier la ligne « Service » comme suit, en remplaçant l'entrée pour ec2.amazonaws.com :

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge peut désormais créer des journaux de flux pour un sous-réseau VPC ou dans la EC2 console Amazon. Lorsque vous créez le journal de flux, spécifiez le flow-logs-for-jorgerôle. Ce rôle dispose des autorisations pour créer le journal et y consigner des données.