Modification de politiques IAM - AWS Identity and Access Management

Modification de politiques IAM

Une politique est une entité qui, lorsqu'elle est attachée une identité ou à une ressource, définit les autorisations de cette dernière. Les politiques sont stockées dans AWS sous forme de documents JSON et sont attachées à des principaux en tant que politiques basées sur l'identité dans IAM. Vous pouvez attacher une politique basée sur identité à un principal (ou une identité), comme un groupe d'utilisateurs, un utilisateur ou un rôle IAM. Les politiques basées sur l'identité incluent des politiques gérées par AWS, des politiques gérées par le client et des politiques en ligne. Vous pouvez modifier les politiques gérées par le client et les politiques en ligne dans IAM. Les politiques gérées par AWS ne peuvent pas être modifiées. Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter IAM et quotas AWS STS, exigences relatives aux noms et limites de caractères.

Afficher l'accès à la politique

Avant de modifier les autorisations d'une politique, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Ajustement des autorisations dans AWS à l'aide des dernières informations consultées.

Modification de politiques gérées par le client (console)

Vous pouvez modifier les politiques gérées par le client pour modifier les autorisations définies dans la politique. Une politique gérée le client peut avoir jusqu'à cinq versions. Ceci est important, car si vous devez modifier une politique gérée au-delà de cinq versions, l’interface AWS Management Console vous invite à choisir quelle version supprimer. Vous pouvez également modifier la version par défaut ou supprimer une version d'une politique avant de modifier celle-ci a pour éviter d'y être invité. Pour en savoir plus sur les versions, consultez Gestion des versions des politiques IAM.

Pour modifier une politique gérée par le client (console)
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Policies.

  3. Dans la liste des politiques, choisissez le nom de la politique à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

  4. Sélectionnez l'onglet Autorisations, puis choisissez Modifier la politique.

  5. Effectuez l'une des actions suivantes :

    • Choisissez l'onglet Éditeur visuel pour modifier votre politique sans comprendre la syntaxe JSON. Vous pouvez apporter des modifications au service, aux ressources d'actions ou à des conditions facultatives pour chaque bloc d'autorisation de votre politique. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Lorsque vous avez terminé d'apporter des modifications, choisissez Examiner une politique pour continuer.

    • Choisissez l'onglet JSON pour modifier votre politique en tapant ou en collant du texte dans la zone de texte de JSON. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Review policy (Examiner une politique).

      Note

      Vous pouvez basculer à tout moment entre les onglets Éditeur visuel et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Editeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  6. Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.

  7. Si la politique gérée dispose déjà du maximum de cinq versions, une boîte de dialogue s'affiche lorsque vous choisissez Enregistrer. Pour enregistrer votre nouvelle version, vous devez supprimer au moins une version antérieure. Vous ne pouvez pas supprimer la version par défaut. Choisissez parmi les options suivantes :

    • Remove oldest non-default policy version (version v# - created # days ago) (Supprimer la plus ancienne version de politique autre que celle par défaut [version v# - créée il y a # jours]) : cette option vous permet de savoir quelle version sera supprimée et de connaître la date de sa création. Vous pouvez afficher le document de politique JSON pour toutes les versions qui ne sont pas par défaut en choisissant la seconde option, Sélectionner les versions à supprimer.

    • Select versions to remove (Sélectionner les versions à supprimer) : cette option vous permet d'afficher le document de politique JSON et de choisir une ou plusieurs versions à supprimer.

    Une fois les versions à supprimer choisies, choisissez Supprimer la version et enregistrer pour enregistrer votre nouvelle version de la politique.

Pour définir la version par défaut d'une politique gérée par le client (console)
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Policies.

  3. Dans la liste des stratégies, choisissez le nom de la stratégie à définir comme la version par défaut. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

  4. Choisissez l'onglet Versions de politique. Cochez la case située en regard de la version que vous souhaitez définir comme version par défaut, puis choisissez Définir par défaut.

Pour supprimer une version d'une politique gérée par le client (console)
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Policies.

  3. Choisissez le nom de la politique gérée par le client dont vous souhaitez supprimer une version. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

  4. Choisissez l'onglet Versions de politique. Activez la case à cocher en regard de la version à supprimer. Ensuite, choisissez Supprimer.

  5. Confirmez que vous voulez supprimer la version, puis choisissez Supprimer.

Modification de politiques en ligne (console)

Vous pouvez modifier une politique en ligne à partir de l’interface AWS Management Console.

Pour modifier une politique en ligne pour un utilisateur, un groupe d'utilisateurs ou un rôle (console)
  1. Dans le panneau de navigation, sélectionnez Users (Utilisateurs), User groups (Groupes d'utilisateurs) ou Roles (Rôles).

  2. Choisissez le nom de l'utilisateur, du groupe d'utilisateurs ou du rôle ayant la politique que vous souhaitez modifier. Choisissez ensuite l'onglet Autorisations et développez la politique.

  3. Pour modifier une politique en ligne, choisissez Modifier la politique.

  4. Effectuez l'une des actions suivantes :

    • Choisissez l'onglet Éditeur visuel pour modifier votre politique sans comprendre la syntaxe JSON. Vous pouvez apporter des modifications au service, aux ressources d'actions ou à des conditions facultatives pour chaque bloc d'autorisation de votre politique. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Lorsque vous avez terminé d'apporter des modifications, choisissez Examiner une politique pour continuer.

    • Choisissez l'onglet JSON pour modifier votre politique en tapant ou en collant du texte dans la zone de texte de JSON. Vous pouvez également importer une politique pour ajouter des autorisations supplémentaires au bas de votre politique. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Review policy (Examiner une politique). Pour enregistrer vos modifications sans affecter les entités actuellement attachées, désactivez la case à cocher Définir comme version par défaut.

    Note

    Vous pouvez basculer à tout moment entre les onglets Éditeur visuel et JSON. Toutefois, si vous apportez des modifications ou sélectionnez Examiner une politique dans l'onglet Editeur visuel, IAM peut restructurer votre politique pour optimiser son affichage dans l'éditeur visuel. Pour plus d’informations, veuillez consulter Restructuration de politique.

  5. Sur la page Vérification, vérifiez le Récapitulatif de la politique, puis choisissez Enregistrer les modifications pour enregistrer votre travail.

Modification des politiques gérées par le client (AWS CLI)

Vous pouvez modifier une politique gérée par le client à partir de l’interface AWS Command Line Interface (AWS CLI).

Note

Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez modifier une politique gérée par le client au-delà de cinq versions, vous devez d'abord supprimer une ou plusieurs versions existantes.

Pour modifier une politique gérée par le client (AWS CLI)
  1. (Facultatif) Pour afficher des informations sur une politique, exécutez les commandes suivantes :

    • Pour répertorier les stratégies gérées : list-policies

    • Pour récupérer les informations détaillées sur une politique gérée : get-policy

  2. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, exécutez les commandes suivantes :

  3. Pour modifier une politique gérée par le client, exécutez la commande suivante :

  4. (Facultatif) Pour valider une politique gérée par le client, exécutez la commande IAM Access Analyzer suivante :

Pour définir la version par défaut d'une politique gérée par le client (AWS CLI)
  1. (Facultatif) Pour répertorier les stratégies gérées, exécutez la commande suivante :

  2. Pour définir la version par défaut d'une politique gérée par le client, exécutez la commande suivante :

Pour supprimer une version d'une politique gérée par le client (AWS CLI)
  1. (Facultatif) Pour répertorier les stratégies gérées, exécutez la commande suivante :

  2. Pour supprimer une politique gérée par le client, exécutez la commande suivante :

Modification de politiques gérées par le client (API AWS)

Vous pouvez modifier une politique gérée par le client à l'aide de l'API AWS.

Note

Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez modifier une politique gérée par le client au-delà de cinq versions, vous devez d'abord supprimer une ou plusieurs versions existantes.

Pour modifier une politique gérée par le client (API AWS)
  1. (Facultatif) Pour afficher des informations sur une politique, appelez les opérations suivantes :

    • Pour répertorier les stratégies gérées : ListPolicies

    • Pour récupérer les informations détaillées sur une politique gérée : GetPolicy

  2. (Facultatif) Pour en savoir plus sur les relations entre les stratégies et les identités, appelez les opérations suivantes :

  3. Pour modifier une politique gérée par le client, appelez l'opération suivante :

  4. (Facultatif) Pour valider une politique gérée par le client, appelez l'opération IAM Access Analyzer suivante :

Pour définir la version par défaut d'une politique gérée par le client (API AWS)
  1. (Facultatif) Pour répertorier les stratégies gérées, appelez l'opération suivante :

  2. Pour définir la version par défaut d'une politique gérée par le client, appelez l'opération suivante :

Pour supprimer une version d'une politique gérée par le client (API AWS)
  1. (Facultatif) Pour répertorier les stratégies gérées, appelez l'opération suivante :

  2. Pour supprimer une politique gérée par le client, appelez l'opération suivante :