Ajout et suppression d'autorisations basées sur l'identité IAM

Vous utilisez des politiques pour définir les autorisations pour une identité (utilisateur, groupe d'utilisateurs ou rôle). Vous pouvez ajouter et supprimer des autorisations en attachant et en détachant des politiques IAM pour une identité à l'aide des interfaces AWS Management Console, AWS Command Line Interface (AWS CLI) ou de l'API AWS. Vous pouvez aussi utiliser des politiques afin de définir les limites d'autorisations uniquement pour les entités (utilisateurs ou rôles) qui utilisent les mêmes méthodes. Les limites d'autorisations sont une fonction AWS avancée qui contrôle les autorisations maximales qu'une entité peut avoir.

Terminologie

Lorsque vous associez des politiques d'autorisations à des identités (utilisateurs, groupes d'utilisateurs et rôles), la terminologie et les procédures varient selon que vous utilisez ou pas une politique gérée ou en ligne :

• Attach (Attacher) : utilisé avec les politiques gérées. Vous attachez une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'attachement d'une politique applique les autorisations de cette dernière à l'identité.

• Detach (Détacher) : utilisé avec les politiques gérées. Vous détachez une politique gérée d'une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). Le détachement d'une politique entraîne la suppression des ses autorisations de l'identité.

• Embed (Intégrer) : utilisé avec les politiques en ligne. Vous intégrez une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'intégration d'une politique applique les autorisations de cette dernière à l'identité. Dans la mesure où une politique en ligne est stockée dans l'identité, elle est intégrée plutôt qu'attachée, même si les résultats sont similaires.

  Note

  Vous ne pouvez intégrer une politique en ligne pour un rôle lié à un service que dans le service qui dépend du rôle. Veuillez consulter la documentation AWS de votre service pour savoir si celui-ci prend en charge cette fonction.

• Delete (Supprimer) : utilisé avec les politiques en ligne. Vous supprimez une politique en ligne d'une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). La suppression d'une politique entraîne la suppression de ses autorisations de l'identité.

  Note

  Vous ne pouvez supprimer une politique en ligne pour un rôle lié à un service que dans le service qui dépend du rôle. Veuillez consulter la documentation AWS de votre service pour savoir si celui-ci prend en charge cette fonction.

Vous pouvez utiliser la console, l’interface AWS CLI ou l'API AWS pour effectuer l'une ou l'autre de ces actions.

En savoir plus

• Pour en savoir plus sur la différence entre les stratégies gérées et les stratégies en ligne, consultez Politiques gérées et politiques en ligne.

• Pour plus d'informations sur les limites d'autorisations, consultez Limites d'autorisations pour les entités IAM.

• Pour obtenir des informations d'ordre général sur les politiques IAM, consultez Politiques et autorisations dans IAM.

• Pour plus d'informations sur la validation des politiques IAM, veuillez consulter Validation de politiques IAM.

• Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter Quotas IAM et AWS STS.

Afficher l'activité d'identité

Avant de modifier les autorisations d'une identité (utilisateur, groupe d'utilisateurs ou rôle), vous devez examiner leur activité récente au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Ajustement des autorisations dans AWS à l'aide des dernières informations consultées.

Ajout des autorisations d'identité IAM (console)

Vous pouvez utiliser AWS Management Console pour ajouter des autorisations à une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, attachez les stratégies gérées qui contrôlent les autorisations, ou spécifiez une stratégie qui sert de limite d'autorisations. Vous pouvez également intégrer une politique en ligne.

Pour utiliser une politique gérée en tant que politique d'autorisations pour une identité (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Policies (Politiques).

3. Dans la liste des politiques, sélectionnez la case d'option en regard du nom de la politique à attacher. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

4. Sélectionnez Actions, puis Attach (Attacher).

5. Sélectionnez une ou plusieurs identités auxquelles attacher la politique. Vous pouvez utiliser la zone de recherche pour filtrer la liste des entités principales. Après avoir sélectionné les identités, choisissez Attacher une politique.

Pour utiliser une politique gérée permettant de définir une limite d'autorisations (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Policies (Politiques).

3. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

4. Sur la page des détails de la politique, choisissez l'onglet Entités attachées, puis, si nécessaire, ouvrez la section Attachées en tant que limites des autorisations et choisissez Définir cette politique en tant que limite des autorisations.

5. Sélectionnez un ou plusieurs utilisateurs ou rôles sur lesquels utiliser la politique comme limite d'autorisations. Vous pouvez utiliser la zone de recherche pour filtrer la liste des entités principales. Après avoir sélectionné les principaux, choisissez Définir la limite des autorisations.

Pour intégrer une politique en ligne pour un utilisateur ou un rôle (console)

1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, sélectionnez Users (Utilisateurs) ou Roles (Rôles).

3. Dans la liste, sélectionnez le nom de l'utilisateur ou du rôle auquel intégrer une politique.

4. Choisissez l'onglet Permissions (Autorisations).

5. Sélectionnez Ajouter des autorisations, puis Ajouter la politique.

   Note

   Vous ne pouvez pas intégrer une politique en ligne dans un rôle lié à un service dans IAM. Comme le service lié définit si vous pouvez modifier les autorisations du rôle, vous pourrez peut-être ajouter des politiques depuis la console de service, l'API ou l’interface AWS CLI. Pour afficher la documentation d'un rôle lié à un service, consultez AWS services qui fonctionnent avec IAM et choisissez Oui dans la colonne Rôle lié à un service de votre service.

6. Faites votre choix parmi les méthodes suivantes pour afficher les étapes requises pour créer votre politique :

   • Importation de politiques gérées existantes : vous pouvez importer une politique gérée dans votre compte, puis la modifier afin de la personnaliser en fonction des vos exigences spécifiques. Une politique gérée peut être une politique gérée par AWS, ou une politique gérée par le client que vous avez créées précédemment.

   • Création de politiques avec l'éditeur visuel : vous pouvez construire intégralement une nouvelle politique dans l'éditeur visuel. Si vous utilisez l'éditeur visuel, vous n'avez pas besoin de comprendre la syntaxe JSON.

   • Création de politiques à l'aide de l'éditeur JSON : dans l'option éditeur JSON, vous pouvez créer une politique à l'aide de la syntaxe JSON. Vous pouvez composer un nouveau document de stratégie JSON ou coller un exemple de stratégie.

7. Une fois que vous avez créé une politique en, ligne, elle est automatiquement intégrée à votre utilisateur ou rôle.

Pour intégrer une politique en ligne pour un groupe d'utilisateurs (console)

1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, sélectionnez User groups (Groupes d'utilisateurs).

3. Dans la liste, sélectionnez le nom du groupe d'utilisateurs auquel intégrer une politique.

4. Choisissez l'onglet Permissions (Autorisations), puis Add permissions (Ajouter des autorisations), et enfin Create inline policy (Créer une politique en ligne).

5. Effectuez l'une des actions suivantes :

   • Sélectionnez l'option Visuel pour créer la politique. Pour de plus amples informations, veuillez consulter Création de politiques avec l'éditeur visuel.

   • Sélectionnez l'option JSON pour créer la politique. Pour de plus amples informations, veuillez consulter Création de politiques à l'aide de l'éditeur JSON.

6. Lorsque vous êtes satisfait de la politique, choisissez Créer une politique.

Pour modifier la limite d'autorisations d'une ou plusieurs entités (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Policies (Politiques).

3. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

4. Sur la page des détails de la politique, choisissez l'onglet Entités attachées, puis, si nécessaire, ouvrez la section Attachées en tant que limite des autorisations. Cochez la case en regard des utilisateurs ou des rôles dont vous voulez modifier les limites, puis choisissez Modifier.

5. Sélectionnez une nouvelle politique à utiliser comme limite d'autorisations. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques. Après avoir sélectionné la politique, choisissez Définir la limite des autorisations.

Suppression des autorisations d'identité IAM (console)

Vous pouvez utiliser AWS Management Console pour supprimer des autorisations d'une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, détachez les politiques gérées qui contrôlent les autorisations, ou supprimez une politique qui a servi de limite d'autorisations. Vous pouvez également supprimer une politique en ligne.

Pour détacher une politique gérée utilisée en tant que politique d'autorisations (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Policies (Politiques).

3. Dans la liste des politiques, sélectionnez la case d'option en regard du nom de la politique à détacher. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

4. Sélectionnez Actions, puis Detach (Détacher).

5. Sélectionnez les identités desquelles détacher la politique. Vous pouvez utiliser la zone de recherche pour filtrer la liste des identités. Après avoir sélectionné les identités, choisissez Détacher la politique.

Pour supprimer une limite d'autorisations (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Policies (Politiques).

3. Dans la liste des stratégies, choisissez le nom de celle à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

4. Sur la page de résumé de la politique, choisissez l'onglet Entités attachées, puis, si nécessaire, ouvrez la section Attachée en tant que limite des autorisations et choisissez les entités pour lesquelles vous supprimez la limite des autorisations. Puis, choisissez Supprimer la limite.

5. Confirmez la suppression de la limite et choisissez Supprimer la limite.

Pour supprimer une politique en ligne (console)

1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, sélectionnez User groups (Groupes d'utilisateurs), Users (Utilisateurs) ou Roles (Rôles).

3. Choisissez dans la liste le nom du groupe d'utilisateurs, de l'utilisateur ou du rôle pour lequel vous souhaitez supprimer la politique.

4. Choisissez l'onglet Permissions (Autorisations).

5. Cochez la case en regard de la politique et choisissez Supprimer.

6. Dans la boîte de confirmation, choisissez Supprimer.

Ajout de politiques IAM (AWS CLI)

Vous pouvez utiliser AWS CLI pour ajouter des autorisations à une identité (utilisateur, groupe d'utilisateurs ou rôle). Pour ce faire, attachez les stratégies gérées qui contrôlent les autorisations, ou spécifiez une stratégie qui sert de limite d'autorisations. Vous pouvez également intégrer une politique en ligne.

Pour utiliser une politique gérée en tant que politique d'autorisations pour une entité (AWS CLI)

1. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes :

   • Pour répertorier les stratégies gérées : aws iam list-policies

   • Pour récupérer les informations détaillées sur une politique gérée : get-policy

2. Pour attacher une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :

   • aws iam attach-user-policy

   • aws iam attach-group-policy

   • aws iam attach-role-policy

Pour utiliser une politique gérée permettant de définir une limite d'autorisations (AWS CLI)

1. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes :

   • Pour répertorier les stratégies gérées : aws iam list-policies

   • Pour récupérer les informations détaillées sur une politique gérée : aws iam get-policy

2. Pour utiliser une politique gérée permettant de définir la limite d'autorisations pour une entité (utilisateur ou rôle), utilisez l'une des commandes suivantes :

   • aws iam put-user-permissions-boundary

   • aws iam put-role-permissions-boundary

Pour intégrer une politique en ligne (AWS CLI)

Pour intégrer une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un rôle lié à un service), utilisez l'une des commandes suivantes :

• aws iam put-user-policy

• aws iam put-group-policy

• aws iam put-role-policy

Supprimer des politiques IAM (AWS CLI)

Vous pouvez utiliser la AWS CLI pour détacher les politiques gérées qui contrôlent les autorisations ou pour supprimer une politique qui sert de limite d'autorisations. Vous pouvez également supprimer une politique en ligne.

Pour détacher une politique gérée utilisée en tant que politique d'autorisations (AWS CLI)

1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :

   • Pour répertorier les stratégies gérées : aws iam list-policies

   • Pour récupérer les informations détaillées sur une politique gérée : aws iam get-policy

2. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, exécutez les commandes suivantes :

   • Pour répertorier les identités (utilisateurs, groupes d'utilisateurs et rôles) auxquelles une politique gérée est attachée :

     • aws iam list-entities-for-policy

   • Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :

     • aws iam list-attached-user-policies

     • aws iam list-attached-group-policies

     • aws iam list-attached-role-policies

3. Pour détacher une politique gérée d'une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :

   • aws iam detach-user-policy

   • aws iam detach-group-policy

   • aws iam detach-role-policy

Pour supprimer une limite d'autorisations (AWS CLI)

1. (Facultatif)Pour afficher la politique gérée actuellement utilisée pour définir la limite d'autorisations d'un utilisateur ou rôle, exécutez les commandes suivantes :

   • aws iam get-user

   • aws iam get-role

2. (Facultatif)Pour afficher les utilisateurs ou rôles sur lesquels une politique gérée est utilisée pour une limite d'autorisations, exécutez la commande suivante :

   • aws iam list-entities-for-policy

3. (Facultatif) Pour afficher les informations d'une politique gérée, exécutez les commandes suivantes :

   • Pour répertorier les stratégies gérées : aws iam list-policies

   • Pour récupérer les informations détaillées sur une politique gérée : aws iam get-policy

4. Pour supprimer une limite d'autorisations d'un utilisateur ou d'un rôle, utilisez l'une des commandes suivantes :

   • aws iam delete-user-permissions-boundary

   • aws iam delete-role-permissions-boundary

Pour supprimer une politique en ligne (AWS CLI)

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs, rôle), utilisez l'une des commandes suivantes :

   • aws iam list-user-policies

   • aws iam list-group-policies

   • aws iam list-role-policies

2. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), utilisez l'une des commandes suivantes :

   • aws iam get-user-policy

   • aws iam get-group-policy

   • aws iam get-role-policy

3. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un rôle lié à un service), utilisez l'une des commandes suivantes :

   • aws iam delete-user-policy

   • aws iam delete-group-policy

   • aws iam delete-role-policy

Ajout de politiques IAM (API AWS)

Vous pouvez utiliser l'API AWS pour attacher les politiques gérées qui contrôlent les autorisations ou spécifier une politique qui sert de limite d'autorisations. Vous pouvez également intégrer une politique en ligne.

Pour utiliser une politique gérée en tant que politique d'autorisations pour une entité (API AWS)

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :

   • Pour répertorier les stratégies gérées : ListPolicies

   • Pour récupérer les informations détaillées sur une politique gérée : GetPolicy

2. Pour attacher une politique gérée à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :

   • AttachUserPolicy

   • AttachGroupPolicy

   • AttachRolePolicy

Pour utiliser une politique gérée permettant de définir une limite d'autorisations (API AWS)

1. (Facultatif) Pour afficher les informations d'une politique gérée, appelez les opérations suivantes :

   • Pour répertorier les stratégies gérées : ListPolicies

   • Pour récupérer les informations détaillées sur une politique gérée : GetPolicy

2. Pour utiliser une politique gérée permettant de définir la limite d'autorisations pour une entité (utilisateur ou rôle), appelez l'une des opérations suivantes :

   • PutUserPermissionsBoundary

   • PutRolePermissionsBoundary

Pour intégrer une politique en ligne (API AWS)

Pour intégrer une politique en ligne à une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un rôle lié à un service), appelez l'une des opérations suivantes :

• PutUserPolicy

• PutGroupPolicy

• PutRolePolicy

Suppression de politiques IAM (API AWS)

Vous pouvez utiliser l'API AWS pour détacher les politiques gérées qui contrôlent les autorisations ou pour supprimer une politique qui sert de limite d'autorisations. Vous pouvez également supprimer une politique en ligne.

Pour détacher une politique gérée utilisée en tant que politique d'autorisations (API AWS)

1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :

   • Pour répertorier les stratégies gérées : ListPolicies

   • Pour récupérer les informations détaillées sur une politique gérée : GetPolicy

2. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, appelez les opérations suivantes :

   • Pour répertorier les identités (utilisateurs, groupes d'utilisateurs et rôles) auxquelles une politique gérée est attachée :

     • ListEntitiesForPolicy

   • Pour répertorier les politiques gérées attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :

     • ListAttachedUserPolicies

     • ListAttachedGroupPolicies

     • ListAttachedRolePolicies

3. Pour détacher une politique gérée d'une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :

   • DetachUserPolicy

   • DetachGroupPolicy

   • DetachRolePolicy

Pour supprimer une limite d'autorisations (API AWS)

1. (Facultatif)Pour afficher la politique gérée actuellement utilisée pour définir la limite d'autorisations d'un utilisateur ou rôle, appelez les opérations suivantes :

   • GetUser

   • GetRole

2. (Facultatif)Pour afficher les utilisateurs ou rôles sur lesquels une politique gérée est utilisée pour une limite d'autorisations, appelez l'opération suivante :

   • ListEntitiesForPolicy

3. (Facultatif) Pour afficher les informations d'une politique gérée, appelez les opérations suivantes :

   • Pour répertorier les stratégies gérées : ListPolicies

   • Pour récupérer les informations détaillées sur une politique gérée : GetPolicy

4. Pour supprimer une limite d'autorisations d'un utilisateur ou d'un rôle, appelez l'une des opérations suivantes :

   • DeleteUserPermissionsBoundary

   • DeleteRolePermissionsBoundary

Pour supprimer une politique en ligne (API AWS)

1. (Facultatif) Pour répertorier toutes les politiques en ligne attachées à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :

   • ListUserPolicies

   • ListGroupPolicies

   • ListRolePolicies

2. (Facultatif) Pour récupérer un document de politique en ligne qui est intégré à une identité (utilisateur, groupe d'utilisateurs ou rôle), appelez l'une des opérations suivantes :

   • GetUserPolicy

   • GetGroupPolicy

   • GetRolePolicy

3. Pour supprimer une politique en ligne d'une identité (utilisateur, groupe d'utilisateurs ou rôle qui n'est pas un rôle lié à un service), appelez l'une des opérations suivantes :

   • DeleteUserPolicy

   • DeleteGroupPolicy

   • DeleteRolePolicy