Mettre à jour les autorisations pour un rôle

Utilisez les procédures suivantes pour mettre à jour les politiques d'autorisation et les limites d'autorisations d'un rôle.

Prérequis : Afficher l'accès aux rôles

Avant de modifier les autorisations d'un rôle, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Affiner les autorisations en AWS utilisant les dernières informations consultées.

Mettre à jour la politique d'autorisation pour un rôle

Pour modifier les autorisations accordées par le rôle, modifiez la stratégie des autorisations du rôle (ou les stratégies). Vous ne pouvez pas modifier la politique d'autorisation pour un rôle lié à un service dans. IAM Vous pouvez modifier la politique d'autorisations dans le service dépendant du rôle. Pour vérifier si un service prend en charge cette fonctionnalité, reportez-vous à la rubrique AWS des services qui fonctionnent avec IAM et recherchez les services qui possèdent Yes (Oui)dans la colonne Rôles liés à un service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Mettre à jour la politique d'autorisation d'un rôle (console)

Pour changer les autorisations autorisées par un rôle (console)

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

3. Choisissez le nom du rôle à modifier, puis choisissez l'onglet Autorisations.

4. Effectuez l’une des actions suivantes :

   • Pour modifier une politique existante gérée par le client, choisissez le nom de la politique, puis choisissez Modifier la politique.

     Note

     Vous ne pouvez pas modifier une politique AWS gérée. AWS les politiques gérées apparaissent avec l' AWS icône ( ). Pour plus d'informations sur la différence entre les politiques AWS gérées et les politiques gérées par le client, consultezPolitiques gérées et politiques en ligne.

   • Pour attacher une stratégie gérée existante au rôle, choisissez Add permissions (Ajouter des autorisations) puis choisissez Attach policies (Attacher des politiques).

   • Pour modifier une politique en ligne existante, développez la politique et choisissez Edit (Modifier).

   • Pour intégrer une nouvelle politique en ligne, choisissez Add permissions (Ajouter des autorisations) puis choisissez Create inline policy (Création de stratégie en ligne).

   • Pour supprimer une politique existante du rôle, cochez la case à côté du nom de la stratégie, puis choisissez Supprimer.

Mettre à jour la politique d'autorisation d'un rôle (AWS CLI)

Pour modifier les autorisations accordées par le rôle, modifiez la stratégie des autorisations du rôle (ou les stratégies). Vous ne pouvez pas modifier la politique d'autorisation pour un rôle lié à un service dans. IAM Vous pouvez modifier la politique d'autorisations dans le service dépendant du rôle. Pour vérifier si un service prend en charge cette fonctionnalité, reportez-vous à la rubrique AWS des services qui fonctionnent avec IAM et recherchez les services qui possèdent Yes (Oui)dans la colonne Rôles liés à un service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Pour modifier les autorisations autorisées par un rôle (AWS CLI)

1. (Facultatif) Pour afficher les autorisations actuelles associées à un rôle, exécutez les commandes suivantes :

   1. aws vise à list-role-policies répertorier les politiques en ligne

   2. aws iam list-attached-role -policies pour répertorier les politiques gérées

2. La commande permettant de mettre à jour les autorisations du rôle varie selon que vous mettez à jour une politique gérée ou une politique en ligne.

   Pour mettre à jour une politique gérée, exécutez la commande suivante pour créer une nouvelle version de la politique gérée :

   • était un objectif create-policy-version

   Pour mettre à jour une politique en ligne, exécutez la commande suivante :

   • était un objectif put-role-policy

Mettre à jour la politique d'autorisation d'un rôle (AWS API)

Pour modifier les autorisations accordées par le rôle, modifiez la stratégie des autorisations du rôle (ou les stratégies). Vous ne pouvez pas modifier la politique d'autorisation pour un rôle lié à un service dans. IAM Vous pouvez modifier la politique d'autorisations dans le service dépendant du rôle. Pour vérifier si un service prend en charge cette fonctionnalité, reportez-vous à la rubrique AWS des services qui fonctionnent avec IAM et recherchez les services qui possèdent Yes (Oui)dans la colonne Rôles liés à un service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Pour modifier les autorisations accordées par un rôle (AWS API)

1. (Facultatif) Pour afficher les autorisations actuelles associées à un rôle, appelez les opérations suivantes :

   1. ListRolePoliciespour répertorier les politiques en ligne

   2. ListAttachedRolePoliciespour répertorier les politiques gérées

2. L'opération permettant de mettre à jour les autorisations du rôle varie selon que vous mettez à jour une politique gérée ou une politique en ligne.

   Pour mettre à jour une politique gérée, appelez l'opération suivante pour créer une nouvelle version de la politique gérée :

   • CreatePolicyVersion

   Pour mettre à jour une politique en ligne, appelez l'opération suivante :

   • PutRolePolicy

Mettre à jour la limite des autorisations pour un rôle

Pour modifier le nombre maximum d'autorisations permises pour un rôle, modifiez la limite d'autorisations du rôle

Mettre à jour la limite des autorisations d'un rôle (console)

Pour modifier la politique utilisée afin de définir la limite d'autorisations pour un rôle

1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Roles (Rôles).

3. Sélectionnez le nom du rôle présentant la limite d'autorisations que vous souhaitez modifier.

4. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Change boundary (Modifier une limite).

5. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

6. Choisissez Change boundary (Modifier une limite).

   Vos modifications ne prennent pas effet jusqu'à ce qu'une autre personne endosse ce rôle.

Mettre à jour la limite des autorisations d'un rôle (AWS CLI)

Pour modifier la politique gérée utilisée afin de définir la limite d'autorisations pour un rôle (AWS CLI)

1. (Facultatif) Pour afficher la limite d'autorisations actuelle d'un rôle, exécutez la commande suivante :

   • aws iam get-role

2. Pour utiliser une autre politique gérée afin de mettre à jour la limite d'autorisations d'un rôle, exécutez la commande suivante :

   • aws iam -boundary put-role-permissions

   Un rôle peut disposer d'une seule politique gérée définie comme une limite d'autorisations. Si vous modifiez la limite d'autorisations, cela modifie le nombre maximum d'autorisations permises pour un rôle.

Mettre à jour la limite des autorisations d'un rôle (AWS API)

Pour modifier la politique gérée utilisée pour définir la limite des autorisations pour un rôle (AWS API)

1. (Facultatif) Pour afficher la limite d'autorisations actuelle d'un rôle, appelez l'opération suivante :

   • GetRole

2. Pour utiliser une autre politique gérée afin de mettre à jour la limite d'autorisations d'un rôle, appelez l'opération suivante :

   • PutRolePermissionsBoundary

   Un rôle peut disposer d'une seule politique gérée définie comme une limite d'autorisations. Si vous modifiez la limite d'autorisations, cela modifie le nombre maximum d'autorisations permises pour un rôle.