Test des politiques IAM avec le simulateur de politiques IAM

Pour plus d'informations sur la manière d'utiliser les politiques IAM et pourquoi, consultez Politiques et autorisations dans IAM.

Vous pouvez accéder à la console du simulateur de politiques IAM à l'adresse suivante :https://policysim.aws.amazon.com/

Important

Les résultats du simulateur de politiques peuvent différer de ceux de votre AWS environnement réel. Nous vous recommandons de vérifier vos politiques par rapport à votre AWS environnement réel après les avoir testées à l'aide du simulateur de politiques afin de confirmer que vous avez obtenu les résultats souhaités. Pour plus d’informations, consultez Fonctionnement du simulateur de politiques IAM.

Avec le simulateur de politiques IAM, vous pouvez tester et dépanner les politiques basées sur l'identité et les limites d'autorisations IAM. Voici quelques exemples de ce que vous pouvez réaliser avec le simulateur de politiques :

• Testez les politiques basées sur l'identité qui sont attachées aux utilisateurs, groupes d'utilisateurs ou rôles IAM dans votre compte Compte AWS. Si plusieurs politiques sont attachées à l'utilisateur, au groupe d'utilisateurs ou au rôle, vous pouvez tester toutes les politiques ou sélectionner des politiques individuelles à tester. Vous pouvez tester les actions qui sont autorisées ou refusées par les politiques sélectionnées pour des ressources spécifiques.

• Testez et résolvez les problèmes liés à l'effet des limites d'autorisations sur les entités IAM. Vous ne pouvez simuler qu'une seule limite d'autorisations à la fois.

• Testez les effets sur les utilisateurs IAM des politiques basées sur les ressources qui sont attachées à des ressources AWS telles que des compartiments Amazon S3, des files d'attente Amazon SQS, des rubriques Amazon SNS ou des coffres-forts Amazon S3 Glacier. Pour utiliser une politique basée sur les ressources dans le simulateur de politiques pour des utilisateurs IAM, vous devez inclure la ressource dans la simulation. Vous devez également cocher la case pour inclure la politique de cette ressource dans la simulation.

  Note

  La simulation de politiques basées sur les ressources n'est pas prise en charge pour les rôles IAM.

• Si vous Compte AWS êtes membre d'une organisation en AWS Organizations, vous pouvez tester l'impact des politiques de contrôle des services (SCP) sur vos politiques basées sur l'identité.

  Note

  Le simulateur de politiques n'évalue pas les SCP qui comportent des conditions.

• Testez les nouvelles politiques basées sur l'identité qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou un rôle en les saisissant ou en les copiant dans le simulateur de politiques. Elles sont utilisées uniquement dans la simulation et en sont pas enregistrées. Vous ne pouvez pas saisir ou copier les politiques basées sur des ressources dans le simulateur de politiques.

• Testez les politiques basées sur l'identité avec les services, actions et ressources sélectionnés. Par exemple, vous pouvez effectuer des tests pour vérifier que votre politique autorise une entité à exécuter les actions ListAllMyBuckets, CreateBucket et DeleteBucket dans le service Amazon S3 sur un compartiment spécifique.

• Simulez des scénarios réels en fournissant des clés de contexte, comme une adresse IP ou une date, qui sont incluses dans les éléments Condition des politiques en cours de test.

  Note

  Le simulateur de politiques ne simule pas les balises fournies comme entrée si la politique basée sur l'identité de la simulation ne comporte aucun élément Condition qui vérifie explicitement la présence de balises.

• Identifiez quelle instruction spécifique d'une politique basée sur l'identité entraîne l'autorisation ou le refus de l'accès à une ressource ou une action particulière.

Fonctionnement du simulateur de politiques IAM

Le simulateur de politiques évalue les déclarations de la politique basée sur l'identité et les entrées que vous fournissez lors de la simulation. Les résultats du simulateur de politiques peuvent différer de ceux de votre environnement AWS en ligne. Nous vous recommandons de vérifier vos politiques par rapport à votre AWS environnement réel après les avoir testées à l'aide du simulateur de politiques afin de confirmer que vous avez obtenu les résultats souhaités.

Le simulateur de politiques se distingue de l' AWS environnement réel sur les points suivants :

• Le simulateur de politiques n'émet pas de véritable demande de AWS service. Vous pouvez donc tester en toute sécurité les demandes susceptibles d'apporter des modifications indésirables à votre AWS environnement réel. Le simulateur de politiques ne prend pas en compte les valeurs clés du contexte réel dans la production.

• Du fait que le simulateur de politiques ne simule pas l'exécution des actions sélectionnées, il ne peut rapporter aucune réponse à la demande simulée. Le seul résultat renvoyé est si l'action demandée serait autorisée ou refusée.

• Si vous modifiez une politique dans le simulateur de politiques, ces modifications affectent uniquement le simulateur de politiques. La politique correspondante dans votre dossier Compte AWS demeure inchangée.

• Vous ne pouvez pas tester des politiques de contrôle des services (SCP) avec n'importe quelles conditions.

• Le simulateur de politiques ne prend pas en charge la simulation des rôles et utilisateurs IAM pour l'accès intercompte.

Note

Le simulateur de politiques IAM ne détermine pas quels services prennent en charge les clés de condition globales pour l'autorisation. Par exemple, le simulateur de politiques n'identifie pas les services qui ne prennent pas en charge aws:TagKeys.

Autorisations nécessaires pour utiliser le simulateur de politiques IAM

Vous pouvez utiliser la console du simulateur de politiques ou l'API du simulateur de politiques pour tester des politiques. Par défaut, les utilisateurs de la console peuvent tester les politiques qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou à un rôle en les saisissant ou en les copiant dans le simulateur de politiques. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible. Les utilisateurs d'API doivent avoir les autorisations pour tester les politiques détachées. Vous pouvez autoriser les utilisateurs de la console ou de l'API à tester des politiques attachées à des utilisateurs, des groupes d'utilisateurs ou des rôles IAM dans votre Compte AWS. Pour ce faire, vous devez fournir l'autorisation d'extraire ces politiques. Afin de tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

Pour obtenir des exemples de stratégie de console et d'API qui autorisent l'utilisateur de la console à simuler les politiques, consultez Exemples de politiques : AWS Identity and Access Management (IAM).

Autorisations nécessaires pour utiliser la console du simulateur de politique

Vous pouvez autoriser les utilisateurs à tester des politiques attachées à des utilisateurs, des groupes d'utilisateurs ou des rôles IAM dans votre Compte AWS. Pour ce faire, vous devez fournir à vos utilisateurs les autorisations nécessaires pour extraire ces politiques. Afin de tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

Pour visualiser un exemple de politique qui autorise l'utilisation de la console du simulateur de politique pour les politiques attachées à un utilisateur, à un groupe d'utilisateurs ou à un rôle, consultez IAM : Accès à la console du simulateur de politiques.

Pour visualiser un exemple de politique qui autorise l'utilisation de la console du simulateur de politique uniquement pour ces utilisateurs avec un chemin spécifique, consultez IAM : accès à la console du simulateur de politique en fonction du chemin d'utilisateur.

Pour créer une politique permettant l'utilisation de la console du simulateur de politique pour un seul type d'entité, utilisez les procédures suivantes.

Pour autoriser les utilisateurs de la console à simuler des politiques pour des utilisateurs

Incluez les actions suivantes dans votre politique :

• iam:GetGroupPolicy

• iam:GetPolicy

• iam:GetPolicyVersion

• iam:GetUser

• iam:GetUserPolicy

• iam:ListAttachedUserPolicies

• iam:ListGroupsForUser

• iam:ListGroupPolicies

• iam:ListUserPolicies

• iam:ListUsers

Pour autoriser les utilisateurs de la console à simuler des politiques pour des groupes d'utilisateurs

Incluez les actions suivantes dans votre politique :

• iam:GetGroup

• iam:GetGroupPolicy

• iam:GetPolicy

• iam:GetPolicyVersion

• iam:ListAttachedGroupPolicies

• iam:ListGroupPolicies

• iam:ListGroups

Pour autoriser les utilisateurs de la console à simuler des politiques pour des rôles

Incluez les actions suivantes dans votre politique :

• iam:GetPolicy

• iam:GetPolicyVersion

• iam:GetRole

• iam:GetRolePolicy

• iam:ListAttachedRolePolicies

• iam:ListRolePolicies

• iam:ListRoles

Pour tester les politiques basées sur les ressources, les utilisateurs doivent avoir l'autorisation d'extraire la politique de la ressource.

Pour autoriser les utilisateurs de la console à tester les politiques basées sur les ressources dans un compartiment Amazon S3

Incluez l'action suivante dans votre politique :

• s3:GetBucketPolicy

Par exemple, la politique suivante utilise cette action pour autoriser les utilisateurs de la console à simuler une politique basée sur une ressource, dans un compartiment Amazon S3 spécifique.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Autorisations nécessaires pour utiliser l'API du simulateur de politique

L'API du simulateur de politiques GetContextKeyForCustomPolicyfonctionne et vous SimulateCustomPolicypermet de tester des politiques qui ne sont pas encore associées à un utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour tester des politiques de ce type, vous transmettez les politiques sous forme de chaînes à l'API. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible. Vous pouvez également utiliser l'API pour tester les politiques attachées à des utilisateurs, des groupes d'utilisateurs ou des rôles IAM dans votre Compte AWS. Pour ce faire, vous devez autoriser les utilisateurs à appeler GetContextKeyForPrincipalPolicyet SimulatePrincipalPolicy.

Pour consulter un exemple de politique qui permet d'utiliser l'API du simulateur de politiques pour les politiques attachées et non attachées dans la version actuelle Compte AWS, consultezIAM : Accès à l'API du simulateur de politique.

Pour créer une politique permettant l'utilisation de l'API du simulateur de politique pour un seul type de politique, utilisez les procédures suivantes.

Pour autoriser les utilisateurs d'API à simuler les politiques transmises directement à l'API sous forme de chaînes

Incluez les actions suivantes dans votre politique :

• iam:GetContextKeysForCustomPolicy

• iam:SimulateCustomPolicy

Pour autoriser les utilisateurs API à simuler les politiques attachées à des utilisateurs, groupes, rôles ou ressources IAM

Incluez les actions suivantes dans votre politique :

• iam:GetContextKeysForPrincipalPolicy

• iam:SimulatePrincipalPolicy

Par exemple, pour autoriser un utilisateur nommé Bob à simuler une politique qui est attribuée à un utilisateur nommé Alice, autorisez Bob à accéder aux ressources suivantes : arn:aws:iam::777788889999:user/alice.

Pour visualiser un exemple de politique qui autorise l'utilisation de l'API du simulateur de politique uniquement pour ces utilisateurs avec un chemin spécifique, consultez IAM : accès à l'API du simulateur de politique en fonction du chemin d'utilisateur.

Utilisation du simulateur de politique IAM (Console)

Par défaut, les utilisateurs peuvent tester les politiques qui ne sont pas encore attachées à un utilisateur, un groupe d'utilisateurs ou à un, rôle en les saisissant ou en les copiant dans la console du simulateur de politique. Ces politiques sont utilisées uniquement dans la simulation et ne divulguent aucune information sensible.

Pour tester une politique qui n'est pas attachée à un utilisateur, un groupe d'utilisateurs ou un rôle (console)

1. Ouvrez la console du simulateur de politique IAM à l'adresse suivante : https://policysim.aws.amazon.com/.

2. Dans le menu Mode: en haut de la page, sélectionnez New Policy (Nouvelle politique).

3. Dans le menu Policy Sandbox (Environnement de test (sandbox) de politique), choisissez Create New Policy (Créer une politique).

4. Tapez ou copiez une politique dans le simulateur de politiques et utilisez le simulateur de politiques comme décrit dans les étapes suivantes.

Après avoir été autorisé à utiliser la console du simulateur de politiques IAM, vous pouvez utiliser le simulateur de politiques pour tester un utilisateur, un groupe d'utilisateurs, un rôle ou une politique de ressource IAM.

Pour tester une politique attachée à un utilisateur, un groupe d'utilisateurs ou un rôle (console)

1. Ouvrez la console du simulateur de politique IAM à l'adresse suivante : https://policysim.aws.amazon.com/.

   Note

   Pour vous connecter au simulateur de politique en tant qu'utilisateur IAM, utilisez votre URL de connexion unique pour vous connecter à la AWS Management Console. Ensuite, accédez à https://policysim.aws.amazon.com/. Pour plus d'informations sur la connexion en tant qu'utilisateur IAM, consultez Comment les utilisateurs d'IAM se connectent à AWS.

   Le simulateur de politiques s'ouvre au mode Existing Policies (Politiques existantes) et répertorie les utilisateurs IAM de votre compte sous Users, Groups, and Roles (Utilisateurs, groupes et rôles).

2. Choisissez l'option appropriée à votre tâche :

   Pour tester ceci :	Faites ceci :
   Une politique attachée à un utilisateur	Choisissez Users (Utilisateurs) dans la liste Users, Groups, and Roles (Utilisateurs, groupes et rôles). Puis choisissez l'utilisateur.
   Une politique attachée à un groupe d'utilisateurs	Choisissez Groups (Groupes) dans la liste Users, Groups, and Roles (Utilisateurs, groupes et rôles). Puis sélectionnez le groupe d'utilisateurs.
   Une politique attachée à un rôle	Choisissez Roles (Rôles) dans la liste Users, Groups, and Roles (Utilisateurs, groupes et rôles). Puis choisissez le rôle.
   Une politique attachée à une ressource	veuillez consulter Étape 9.
   Politique personnalisée pour un utilisateur, un groupe d'utilisateurs ou un rôle	Choisissez Create new policy (Créer une nouvelle politique). Dans le nouveau panneau Policies (Politiques), saisissez ou collez une politique, puis choisissez Apply (Appliquer).

   Conseil

   Pour tester une politique attachée à un groupe, vous pouvez lancer le simulateur de politiques IAM directement dans la console IAM : dans le panneau de navigation, sélectionnez Groupes. Choisissez le nom du groupe sur lequel vous souhaitez tester une politique, puis choisissez l'onglet Autorisations. Choisissez Simulate (Simuler).

   Pour tester une politique gérée par le client attachée à un utilisateur : dans le panneau de navigation, choisissez Utilisateurs. Choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations. Ensuite, choisissez l'onglet Autorisations et développez la politique à tester. À l'extrême droite, choisissez Simuler la politique. Le simulateur de politique IAM ouvre une nouvelle fenêtre et affiche la politique sélectionnée dans le panneau Policies (Politiques).

3. (Facultatif) Si votre compte est membre d'une organisation dans AWS Organizations, activez la case à cocher en regard des SCP AWS Organizations afin d'inclure les SCP dans votre évaluation simulée. Les stratégies de contrôle de service qui spécifient les autorisations maximales pour une organisation ou une unité d'organisation. La stratégie de contrôle de service limite les autorisations pour les entités dans les comptes membres. Si une stratégie de contrôle de service bloque un service ou une action, aucune entité de ce compte ne peut accéder à ce service ni effectuer cette action. Cette affirmation se confirme même si un administrateur accorde explicitement des autorisations à ce service ou à cette action IAM ou par le biais d'un IAM ou d'une politique de ressources.

   Si votre compte n'est pas membre d'une organisation, la case à cocher n'apparaît pas.

4. (Facultatif) Vous pouvez tester une politique définie en tant que limite d'autorisations pour une entité IAM (utilisateur ou rôle), mais pas pour des groupes d'utilisateurs. Si une politique de limite des autorisations est actuellement définie pour l'entité, elle apparaît dans le panneau Policies (Politiques). Vous ne pouvez définir qu'une seule limite d'autorisations pour une entité. Pour tester une limite d'autorisations différente, vous pouvez créer une limite d'autorisations personnalisée. Pour ce faire, choisissez Create New Policy (Créer une nouvelle politique). Un nouveau panneau Policies (Politiques) s'ouvre. Dans le menu, choisissez Custom IAM Permissions Boundary Policy (Politique de limite d'autorisations IAM personnalisée). Entrez un nom pour la nouvelle politique et saisissez ou copiez une politique dans l'espace ci-dessous. Choisissez Apply (Appliquer) pour enregistrer la politique. Ensuite, choisissez Back (Précédent) pour revenir au panneau Policies (Politiques) d'origine. Sélectionnez ensuite la case à cocher en regard de la limite d'autorisations que vous souhaitez utiliser pour la simulation.

5. (Facultatif) Vous pouvez tester uniquement un sous-ensemble de politiques attachées à un utilisateur, un groupe d'utilisateurs ou un rôle. Pour ce faire, dans le panneau Policies (Politiques), désactivez la case à cocher en regard de chaque politique que vous souhaitez exclure.

6. Sous Simulateur de politique, choisissez Select service (Sélectionner un service), puis choisissez le service à tester. Choisissez ensuite Sélectionner des actions et sélectionnez une ou plusieurs actions à tester. Bien que les menus affichent les sélections disponibles pour un seul service à la fois, tous les services et actions que vous avez sélectionnés s'affichent dans Action Settings and Results (Paramètres d'action et résultats).

7. (Facultatif) Si des politiques que vous choisissez dans les interfaces Étape 2 et Étape 5 incluent des conditions avec des clés de condition globale AWS, fournissez des valeurs pour ces clés. Cette opération est possible en étendant la section Global Settings (Paramètres généraux) et en saisissant des valeurs pour les noms de clés affichés ici.

   Avertissement

   Si vous laissez la valeur d'une clé de condition vide, cette clé est ignorée pendant la simulation. Dans certains cas, cela entraîne une erreur et l'exécution de la simulation échoue. Dans d'autres cas, la simulation fonctionne, mais les résultats peuvent ne pas être fiables. Dans ces cas, la simulation ne correspond pas aux conditions du monde réel qui incluent une valeur pour la clé de condition ou la variable.

8. (Facultatif) Chaque action sélectionnée s'affiche dans la liste Action Settings and Results (Paramètres d'action et résultats) avec la mention Not simulated (Non simulée) affichée dans la colonne Autorisation jusqu'à ce que vous exécutiez réellement la simulation. Avant d'exécuter la simulation, vous pouvez configurer chaque action avec une ressource. Pour configurer des actions individuelles pour un scénario spécifique, choisissez la flèche pour développer la ligne de l'action. Si l'action prend en charge les autorisations de niveau de ressource, vous pouvez saisir l'Amazon Resource Name (ARN) de la ressource spécifique dont vous souhaitez tester l'accès. Par défaut, chaque ressource est définie sur un caractère générique (*). Vous pouvez également spécifier une valeur pour toutes les clés de contexte de condition. Comme mentionné précédemment, les clés avec des valeurs vides sont ignorées, ce qui peut entraîner des échecs de simulation ou des résultats peu fiables.

   1. Choisissez la flèche située en regard du nom de l'action pour développer chaque ligne et configurer les informations supplémentaires requises pour simuler précisément l'action dans votre scénario. Si l'action nécessite des autorisations de niveau de ressource, vous pouvez saisir l'Amazon Resource Name (ARN) de la ressource spécifique à laquelle vous souhaitez simuler l'accès. Par défaut, chaque ressource est définie sur un caractère générique (*).

   2. Si l'action prend en charge les autorisations de niveau ressource mais qu'elles ne sont pas obligatoires, vous pouvez choisir l'option Ajouter une ressource pour sélectionner le type de ressource que vous souhaitez ajouter à la simulation.

   3. Si l'une des politiques sélectionnées inclue un élément Condition qui fait référence à une clé de contexte pour le service de cette action, ce nom de clé s'affiche sous l'action. Vous pouvez spécifier la valeur à utiliser pendant la simulation de cette action pour la ressource spécifiée.

   Actions nécessitant différents groupes de types de ressources

   Certaines actions nécessitent différents types de ressources dans certaines circonstances. Chaque groupe de types de ressources est associé à un scénario. Si l'un d'entre eux s'applique à votre simulation, sélectionnez-le et le simulateur de politiques nécessite les types de ressources adaptés à ce scénario. La liste suivante affiche chacune des options de scénarios prises en charge et les ressources que vous devez définir pour exécuter la simulation.

   Chacun des scénarios suivants Amazon EC2 nécessite que vous spécifiiez les ressources instance, image et security-group. Si votre scénario inclut un volume EBS, vous devez spécifier ce volume en tant que ressource. Si le scénario Amazon EC2 inclut un Virtual Private Cloud (VPC), vous devez fournir la ressource network-interface. S'il inclut un sous-réseau IP, vous devez spécifier la ressource subnet. Pour de plus amples informations sur les options de scénarios Amazon EC2, veuillez consulter Supported Platforms (Plateformes prises en charge) dans le Guide de l'utilisateur Amazon EC2.

   • EC2-VPC- InstanceStore

     instance, image, groupe de sécurité, interface réseau

   • Sous-réseau EC2-VPC- InstanceStore

     instance, image, groupe de sécurité, interface réseau, sous-réseau

   • EC2-VPC-EBS

     instance, image, groupe de sécurité, interface réseau, volume

   • EC2-VPC-EBS-Subnet

     instance, image, groupe de sécurité, interface réseau, sous-réseau, volume

9. (Facultatif) Si vous souhaitez inclure une politique basée sur les ressources dans votre simulation, vous devez d'abord sélectionner les actions que vous souhaitez simuler sur cette ressource dans Étape 6. Développez les lignes des actions sélectionnées et saisissez l'ARN de la ressource avec une politique que vous souhaitez simuler. Sélectionnez ensuite Include Resource Policy (Inclure une politique de ressource) en regard de la zone de texte ARN. Le simulateur de politique IAM prend actuellement en charge les politiques basées sur des ressources uniquement dans les services suivants : Amazon S3 (politiques basées sur les ressources uniquement ; les listes de contrôle d'accès (ACL) ne sont pas prises en charge actuellement), Amazon SQS, Amazon SNS et coffres S3 Glacier déverrouillés (les coffres verrouillés ne sont pas pris en charge actuellement).

10. Choisissez Run Simulation (Exécuter la simulation) dans le coin supérieur droit.

    La colonne Autorisation de chaque ligne de Action Settings and Results (Paramètres d'action et résultats) affiche le résultat de la simulation de cette action sur la ressource spécifiée.

11. Pour voir quelle instruction d'une politique a autorisé ou refusé explicitement une action, choisissez le lien N matching statement(s) (N instruction(s) correspondante(s)) dans la colonne Autorisations pour développer la ligne. Ensuite, affichez le lien Show statement (Afficher l'instruction). Le panneau Politiques affiche la politique correspondant à l'instruction ayant affecté le résultat de la simulation surlignée.

    Note

    Si une action est implicitement refusée, autrement dit si l'action est refusée uniquement parce qu'elle n'est pas explicitement autorisée, les options List (Répertorier) et Show statement (Afficher l'instruction) ne sont pas affichées.

Dépannage des messages de la console du simulateur de politique IAM

Le tableau suivant répertorie les messages d'information et d'avertissement que vous êtes susceptible de recevoir lorsque vous utilisez le simulateur de politique IAM. Le tableau fournit également des mesures à prendre pour les résoudre.

Message	Mesures à prendre
This policy has been edited. Changes will not be saved to your account.	Aucune action requise. Ce message est informatif. Si vous modifiez une politique existante dans le simulateur de politique IAM, votre modification n'affecte pas votre Compte AWS. Le simulateur de politiques vous permet de modifier vos politiques uniquement à des fins de test.
Cannot get the resource policy. Raison : message d'erreur détaillé	Le simulateur de politiques ne parvient pas à accéder à une politique basée sur des ressources demandée. Vérifiez que l'ARN de la ressources spécifiée est correct et que l'utilisateur exécutant la simulation est autorisé à lire la politique de la ressource.
One or more policies require values in the simulation settings. The simulation might fail without these values.	Ce message s'affiche si la politique que vous testez contient des clés de condition ou des variables mais que vous n'avez pas fourni de valeurs pour ces clés ou variables dans Simulation Settings (Paramètres de simulation). Pour ignorer ce message, choisissez Simulation Settings (Paramètres de simulation), puis saisissez une valeur pour chaque clé ou variable de condition.
You have changed policies. These results are no longer valid.	Ce message s'affiche si vous avez modifié la politique sélectionnée alors que les résultats sont affichés dans le panneau Résultats. Les résultats affichés dans le panneau Résultats ne sont pas mis à jour de manière dynamique. Pour ignorer ce message, choisissez de nouveau Run Simulation (Exécuter la simulation) pour afficher les nouveaux résultats de la simulation basés sur les modifications apportées dans le panneau Politiques.
La ressource que vous avez tapée pour cette simulation ne correspond pas à ce service.	Ce message s'affiche si vous avez tapé un Amazon Resource Name (ARN) dans le panneau Simulation Settings (Paramètres de simulation) qui ne correspond pas au service que vous avez choisi pour la simulation actuelle. Par exemple, ce message s'affiche si vous spécifiez un ARN pour une ressource Amazon DynamoDB, mais que vous avez choisi Amazon Redshift comme service à simuler. Pour ignorer ce message, procédez comme suit : Supprimez l'ARN de la zone du panneau Simulation Settings (Paramètres de simulation). Choisissez le service correspondant à l'ARN que vous avez spécifié dans Simulation Settings (Paramètres de simulation).
Cette action appartient à un service qui prend en charge des mécanismes de contrôle d'accès spéciaux, en plus des politiques basées sur les ressources, telles que les listes ACL Amazon S3 ou les politiques de verrouillage de coffre S3 Glacier. The policy simulator does not support these mechanisms, so the results can differ from your production environment.	Aucune action requise. Ce message est informatif. Dans la version actuelle, le simulateur de politiques évalue les politiques attachées aux utilisateurs et aux groupes d'utilisateurs, et peut évaluer les politiques basées sur les ressources pour Amazon S3, Amazon SQS, Amazon SNS et S3 Glacier. Le simulateur de politique ne prend pas en charge tous les mécanismes de contrôle d'accès pris en charge par d'autres services AWS .
DynamoDB FGAC is currently not supported.	Aucune action requise. Ce message d'information fait référence à un contrôle précis des accès. Le contrôle d'accès affiné est la possibilité d'utiliser des conditions de politique IAM pour déterminer qui peut accéder aux éléments de données et attributs individuels dans les tables et les index DynamoDB. Il fait également référence aux actions qui peuvent être effectuées sur ces tables et index. La version actuelle du simulateur de politique IAM ne prend pas en charge ce type de condition de politique. Pour plus d'informations sur le contrôle d'accès précis à DynamoDB, consultez Contrôle d'accès précis pour DynamoDB.
You have policies that do not comply with the policy syntax. Vous pouvez utiliser la validation de politique pour examiner les mises à jour recommandées de vos politiques.	Ce message apparaît en haut de la liste des politiques si vous disposez de politiques non conformes à la syntaxe des politiques IAM. Pour simuler ces politiques, veuillez consulter les options de validation de politiques à Validation de politiques IAM afin d'identifier et corriger ces politiques.
This policy must be updated to comply with the latest policy syntax rules.	Ce message s'affiche si vous disposez de politiques non conformes à la syntaxe des politiques IAM. Pour simuler ces politiques, veuillez consulter les options de validation de politiques à Validation de politiques IAM afin d'identifier et corriger ces politiques.

Utilisation du simulateur de politique IAM (AWS CLI et de AWS l'API)

Les commandes du simulateur de politique nécessitent généralement d'appeler des opérations d'API pour faire deux choses :

1. Évaluer les politiques et renvoyer la liste des clés de contexte auxquelles elles font référence. Vous devez savoir quelles clés de contexte sont référencées pour pouvoir leur attribuer des valeurs à l'étape suivante.

2. Simuler les politiques, en fournissant une liste d'actions, de ressources et de clés de contexte utilisées pendant la simulation.

Pour des raisons de sécurité, les opérations d'API ont été réparties en deux groupes :

• Les opérations API qui simulent uniquement les politiques transmises directement à l'API sous forme de chaînes. Cet ensemble comprend GetContextKeysForCustomPolicyet SimulateCustomPolicy.

• Les opérations API qui simulent les politiques attachées à un utilisateur IAM, un groupe, un rôle ou une ressource spécifiée. Du fait que les opérations d'API peuvent révéler des détails sur les autorisations affectées à d'autres entités IAM, vous devez envisager de restreindre l'accès à ces opérations API. Cet ensemble comprend GetContextKeysForPrincipalPolicyet SimulatePrincipalPolicy. Pour en savoir plus sur les restrictions appliquées aux opérations API, consultez Exemples de politiques : AWS Identity and Access Management (IAM).

Dans les deux cas, les opérations API simulent l'effet d'une ou de plusieurs politiques sur une liste d'actions et de ressources. Chaque action est appariée à chaque ressource et la simulation détermine si les politiques autorisent ou refusent cette action pour cette ressource. Vous pouvez également fournir des valeurs pour toutes les clés de contexte auxquelles vos politiques font référence. Vous pouvez obtenir la liste des clés de contexte auxquelles les politiques font référence en appelant d'abord GetContextKeysForCustomPolicy ou GetContextKeysForPrincipalPolicy. Si vous ne fournissez pas de valeur pour une clé de contexte, la simulation s'exécute malgré tout. En revanche, les résultats peuvent ne pas être fiables, car le simulateur de politiques ne peut pas inclure cette clé de contexte dans l'évaluation.

Pour obtenir la liste des clés de contexte (AWS CLI, AWS API)

Utilisez les clés suivantes afin d'évaluer une liste de politiques et de renvoyer une liste de clés de contexte utilisées dans les politiques.

• AWS CLI : aws iam get-context-keys-for-custom-policy et aws iam get-context-keys-for-principal-policy

• AWS API : GetContextKeysForCustomPolicyet GetContextKeysForPrincipalPolicy

Pour simuler des politiques IAM (AWS CLI, AWS API)

Utilisez ce qui suit afin de simuler des politiques IAM pour déterminer les autorisations effectives d'un utilisateur.

• AWS CLI : aws iam simulate-custom-policy et aws iam simulate-principal-policy

• AWS API : SimulateCustomPolicyet SimulatePrincipalPolicy