Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques de gestion des versions IAM
Lorsque vous modifiez une politique gérée par le IAM client ou une politique AWS gérée, la politique modifiée ne remplace pas la politique existante. AWS Il IAM crée plutôt une nouvelle version de la politique gérée. IAMstocke jusqu'à cinq versions de vos politiques gérées par les clients. IAMne prend pas en charge la gestion des versions pour les politiques intégrées.
Le diagramme suivant illustre la gestion des versions pour une politique gérée par le client. Dans cet exemple, les versions de 1 à 4 sont enregistrées. Vous pouvez enregistrer jusqu'à cinq versions de politiques gérées dansIAM. Lorsque vous créez une sixième version en modifiant une politique, vous pouvez choisir quelle version plus ancienne supprimer. Vous pouvez revenir à tout moment à l'une des quatre autres versions enregistrées.
Une version de politique est différente d'un élément de politique Version
. L'élément de politique Version
est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur l'élément de politique Version
, consultez IAMJSONéléments de politique : Version.
Vous pouvez utiliser ces versions pour effectuer le suivi d'une politique gérée. Par exemple, vous pouvez modifier une politique gérée et découvrir ensuite que le changement a eu des effets inattendus. Dans ce cas, vous pouvez revenir à un version précédente de la politique gérée en définissant la version précédente comme version par défaut.
Les rubriques suivantes expliquent comment utiliser la gestion des versions avec les politiques gérées.
Rubriques
Limites de version
Une politique gérée peut avoir jusqu'à cinq versions. Si vous devez apporter des modifications à une politique gérée au-delà de cinq versions par rapport au AWS Command Line Interface, ou au AWS API, vous devez d'abord supprimer une ou plusieurs versions existantes. Si vous utilisez le AWS Management Console, il n'est pas nécessaire de supprimer une version avant de modifier votre politique. Lorsque vous disposez d'une sixième version, une boîte de dialogue s'affiche pour vous inviter à supprimer une ou plusieurs versions personnalisées de votre politique. Vous pouvez consulter le document de JSON politique pour chaque version afin de vous aider à prendre une décision. Pour plus d'informations sur cette boîte de dialogue, consultez la section Modifier les IAM politiques.
Vous pouvez supprimer n'importe quelle version de la politique gérée de votre choix, sauf la version par défaut. Lorsque vous supprimez une version, les identificateurs de version des versions restantes ne changent pas. En conséquence, les identificateurs de version peuvent ne pas être séquentiels. Par exemple, si vous supprimez les versions v2 et v4 d'une politique gérée et que vous ajoutez deux nouvelles versions, les identificateurs de version restants peuvent être v1, v3, v5, v6 et v7.
Utiliser les versions pour annuler les modifications
Vous pouvez définir la version par défaut d'une politique gérée par le client pour annuler vos modifications. Par exemple, imaginez le scénario suivant:
Vous créez une politique gérée par le client qui autorise les utilisateurs à administrer un compartiment Amazon S3 spécifique à l'aide de la AWS Management Console. À sa création, votre politique gérée par le client dispose d'une version unique, identifiée comme v1. Cette version est donc définie automatiquement comme valeur par défaut. La politique fonctionne comme prévu.
Plus tard, vous mettrez à jour la politique pour ajouter l'autorisation d'administrer un second compartiment Amazon S3. IAMcrée une nouvelle version de la politique, identifiée comme v2, qui contient vos modifications. Vous définissez la version v2 comme version par défaut, et peu de temps après, vos utilisateurs signalent qu'ils n'ont pas l'autorisation d'utiliser la console Amazon S3. Dans ce cas, vous pouvez revenir à la version v1 de la politique, que vous savez fonctionner comme prévu. Pour cela, vous définissez la version v1 comme version par défaut. Vous utilisateurs sont désormais en mesure d'utiliser la console Amazon S3 pour administrer le compartiment d'origine.
Plus tard, après avoir identifié l'erreur dans la version v2 de la politique, vous remettez à jour la politique pour ajouter l'autorisation d'administrer le second compartiment Amazon S3. IAMcrée une autre nouvelle version de la politique, identifiée comme v3. Vous définissez la version v3 comme version par défaut et cette version fonctionne comme prévu. À ce stade, vous supprimez la version v2 de la politique.
Autorisations pour définir la version par défaut d'une politique
Les autorisations requises pour définir la version par défaut d'une politique correspondent aux AWS API opérations associées à la tâche. Vous pouvez utiliser les SetDefaultPolicyVersion
API opérations CreatePolicyVersion
ou pour définir la version par défaut d'une politique. Pour autoriser une personne à définir la version par défaut d'une politique existante, vous pouvez autoriser l'accès à l'action iam:CreatePolicyVersion
ou l'action iam:SetDefaultPolicyVersion
. L'action iam:CreatePolicyVersion
permet de créer une nouvelle version de la politique et de définir cette version comme version par défaut. L'action iam:SetDefaultPolicyVersion
permet de définir n'importe quelle version existante de la politique comme valeur par défaut.
Important
Refuser l'action iam:SetDefaultPolicyVersion
dans une politique d'utilisateur n'empêche pas l'utilisateur de créer une nouvelle version de la politique et de la définir comme version par défaut.
Vous pouvez utiliser la politique suivante pour interdire à un utilisateur de modifier une politique existante gérée par le client :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreatePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/
POLICY-NAME
" } ] }
Définition de la version par défaut des politiques gérées par le client
L'une des versions d'une politique gérée est définie comme la version par défaut. La version par défaut de la politique est la version opérationnelle, c'est-à-dire la version en vigueur pour toutes les entités principales (IAMutilisateurs, IAM groupes et IAM rôles) auxquelles la politique gérée est attachée.
Lorsque vous créez une politique gérée par le client, la politique commence par une version unique identifiée comme v1. Pour les politiques gérées avec une version unique, cette version est définie automatiquement comme valeur par défaut. Pour les politiques gérées par le client avec plusieurs versions, vous choisissez la version à définir par défaut. Pour les politiques AWS gérées, la version par défaut est définie par AWS. Les diagrammes suivants illustrent ce concept.
Vous pouvez définir la version par défaut d'une politique gérée par le client pour appliquer cette version à chaque IAM identité (utilisateur, groupe d'utilisateurs et rôle) à laquelle la politique est attachée. Vous ne pouvez pas définir la version par défaut d'une politique AWS gérée ou d'une politique intégrée.
Pour définir la version par défaut d'une politique gérée par le client (console)
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Politiques.
-
Dans la liste des stratégies, choisissez le nom de la stratégie à définir comme la version par défaut. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.
-
Choisissez l'onglet Versions de politique. Cochez la case située en regard de la version que vous souhaitez définir comme version par défaut, puis choisissez Définir par défaut.
Pour savoir comment définir la version par défaut d'une politique gérée par le client à partir du AWS Command Line Interface ou du AWS API, voirModifier IAM les politiques (AWS CLI).