Mettre à jour une politique de confiance dans les rôles - AWS Gestion de l’identité et des accès
Mettre à jour une politique de confiance dans les rôles (console)Mettre à jour une politique de confiance dans les rôles (AWS CLI)Mettre à jour une politique de confiance dans les rôles (AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour une politique de confiance dans les rôles

Pour modifier la personne qui peut endosser un rôle, vous devez modifier la politique d'approbation du rôle. Vous ne pouvez pas modifier la politique d'approbation d'un rôle lié à un service.

Remarques

  • Si un utilisateur est répertorié comme principal dans la politique d'approbation d'un rôle, mais ne peut pas endosser le rôle, vérifiez les limites d'autorisations de l'utilisateur. Si une limite d'autorisation est définie pour l'utilisateur, elle doit autoriser l'action sts:AssumeRole.

  • Pour permettre aux utilisateurs d'assumer à nouveau le rôle actuel au cours d'une session de rôle, spécifiez le rôle ARN ou en Compte AWS ARN tant que principal dans la politique de confiance des rôles. Services AWS qui fournissent des ressources de calcul telles qu'AmazonEC2, Amazon ECSEKS, Amazon et Lambda fournissent des informations d'identification temporaires et mettent automatiquement à jour ces informations d'identification. Cela garantit que vous disposez toujours d'un ensemble d'informations d'identification valide. Pour ces services, il n'est pas nécessaire d'endosser à nouveau le rôle actuel pour obtenir des informations d'identification temporaires. Toutefois, si vous avez l'intention de transférer des balises de session ou une politique de session, vous devez endosser à nouveau le rôle actuel.

Mettre à jour une politique de confiance dans les rôles (console)

Pour modifier une politique de confiance dans les rôles dans le AWS Management Console

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  3. Dans la liste des rôles de votre compte, choisissez le nom du rôle que vous souhaitez modifier.

  4. Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la politique d'approbation).

  5. Modifiez la politique d'approbation au besoin. Pour ajouter des principaux supplémentaires capables d'endosser le rôle, spécifiez-les dans l'élément Principal. Par exemple, l'extrait de politique suivant montre comment faire référence à deux éléments Comptes AWS dans l'Principalélément :

    "Principal": {
  "AWS": [
    "arn:aws:iam::111122223333:root",
    "arn:aws:iam::444455556666:root"
  ]
},

    Si vous spécifiez un principal dans un autre compte, l'ajout d'un compte à la politique d'approbation d'un rôle n'est qu'une partie de la procédure d'établissement de la relation d'approbation entre comptes. Par défaut, aucun utilisateur des comptes approuvés ne peut endosser le rôle. L'administrateur du compte nouvellement approuvé doit accorder aux utilisateurs l'autorisation d'endosser le rôle. Pour ce faire, l'administrateur doit créer ou modifier une politique attachée à l'utilisateur pour lui permettre d'accéder à l'action sts:AssumeRole. Pour plus d'informations, consultez la procédure suivante ou Accorder à un utilisateur l'autorisation de changer de rôle.

    L'extrait de politique suivant montre comment référencer deux AWS services dans l'Principalélément :

    "Principal": {
  "Service": [
    "opsworks.amazonaws.com",
    "ec2.amazonaws.com"
  ]
},

  6. Après avoir modifié votre politique d'approbation, choisissez Mettre à jour la politique pour enregistrer vos modifications.

    Pour plus d'informations sur la syntaxe et la structure de la politique, consultez les sections Politiques et autorisations dans AWS Identity and Access Management et IAMJSONréférence à un élément de politique.

Pour autoriser les utilisateurs d'un compte externe approuvé à utiliser le rôle (console)

Pour plus d'informations sur cette procédure, consultez Accorder à un utilisateur l'autorisation de changer de rôle.

  1. Connectez-vous à l'externe de confiance Compte AWS.

  2. Décidez si vous devez attacher les autorisations à un utilisateur ou à un groupe. Dans le volet de navigation de la IAM console, sélectionnez Utilisateurs ou Groupes d'utilisateurs en conséquence.

  3. Choisissez le nom de l'utilisateur ou du groupe auquel vous souhaitez accorder l'accès, puis sélectionnez l'onglet Autorisations.

  4. Effectuez l’une des actions suivantes :

    • Pour modifier une politique gérée par le client, choisissez le nom de la politique, choisissez Modifier la politique, puis choisissez l'JSONonglet. Vous ne pouvez pas modifier une politique AWS gérée. AWS les politiques gérées apparaissent avec l' AWS icône ( Orange cube icon indicating a policy is managed by AWS. ). Pour plus d'informations sur la différence entre les stratégies gérées AWS et les stratégies gérées par le client, consultez Politiques gérées et politiques en ligne.

    • Pour modifier une politique en ligne, choisissez la flèche en regard du nom de la politique et choisissez Modifier la politique.

  5. Dans l'éditeur de politiques, ajoutez un nouvel élément Statement spécifiant ce qui suit :

    {
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
}

    Remplacez le ARN dans l'instruction par le ARN nom du rôle que l'utilisateur peut assumer.

  6. Suivez les invites à l'écran pour terminer de modifier la politique.

Mettre à jour une politique de confiance dans les rôles (AWS CLI)

Vous pouvez utiliser le AWS CLI pour modifier les personnes autorisées à assumer un rôle.

Pour modifier une politique d'approbation de rôle (AWS CLI)

  1. (Facultatif) Si vous ne connaissez pas le nom du rôle que vous souhaitez modifier, exécutez la commande suivante pour répertorier les rôles de votre compte :

  2. (Facultatif) Pour afficher la politique d'approbation actuelle d'un rôle, exécutez la commande suivante :

  3. Pour modifier les principaux approuvés ayant accès au rôle, créez un fichier texte avec la politique d'approbation mise à jour. Vous pouvez utiliser l'éditeur de texte pour créer la politique.

    Par exemple, la politique d'approbation suivante illustre comment référencer deux Comptes AWS dans l'élément Principal. Cela permet aux utilisateurs séparés Comptes AWS d'assumer ce rôle.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Si vous spécifiez un principal dans un autre compte, l'ajout d'un compte à la politique d'approbation d'un rôle n'est qu'une partie de la procédure d'établissement de la relation d'approbation entre comptes. Par défaut, aucun utilisateur des comptes approuvés ne peut endosser le rôle. L'administrateur du compte nouvellement approuvé doit accorder aux utilisateurs l'autorisation d'endosser le rôle. Pour ce faire, l'administrateur doit créer ou modifier une politique attachée à l'utilisateur pour lui permettre d'accéder à l'action sts:AssumeRole. Pour plus d'informations, consultez la procédure suivante ou Accorder à un utilisateur l'autorisation de changer de rôle.

  4. Pour utiliser le fichier créé afin de mettre à jour la politique de confiance, exécutez la commande suivante :

Pour autoriser les utilisateurs d'un compte externe approuvé à utiliser le rôle (AWS CLI)

Pour plus d'informations sur cette procédure, consultez Accorder à un utilisateur l'autorisation de changer de rôle.

  1. Créez un JSON fichier contenant une politique d'autorisation qui accorde les autorisations nécessaires pour assumer le rôle. Par exemple, la politique suivante contient les autorisations nécessaires minimales :

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Remplacez le ARN dans l'instruction par le ARN nom du rôle que l'utilisateur peut assumer.

  2. Exécutez la commande suivante pour télécharger le JSON fichier contenant la politique de confiance vers IAM :

    La sortie de cette commande inclut ARN la politique. Prenez note de cela, ARN car vous en aurez besoin ultérieurement.

  3. Décidez à quel utilisateur ou groupe attacher la politique. Si vous ne connaissez pas le nom de l'utilisateur ou du groupe concerné, utilisez les commandes suivantes pour répertorier les utilisateurs ou les groupes de votre compte :

  4. Utilisez l'une des commandes suivantes pour attacher la politique créée dans l'étape précédente à l'utilisateur ou au groupe :

Mettre à jour une politique de confiance dans les rôles (AWS API)

Vous pouvez utiliser le AWS API pour modifier les personnes autorisées à assumer un rôle.

Pour modifier une politique de confiance dans les rôles (AWS API)

  1. (Facultatif) Si vous ne connaissez pas le nom du rôle que vous souhaitez modifier, appelez l'opération suivante pour répertorier les rôles de votre compte :

  2. (Facultatif) Pour afficher la politique d'approbation actuelle d'un rôle, appelez l'opération suivante :

  3. Pour modifier les principaux approuvés ayant accès au rôle, créez un fichier texte avec la politique d'approbation mise à jour. Vous pouvez utiliser l'éditeur de texte pour créer la politique.

    Par exemple, la politique d'approbation suivante illustre comment référencer deux Comptes AWS dans l'élément Principal. Cela permet aux utilisateurs séparés Comptes AWS d'assumer ce rôle.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Si vous spécifiez un principal dans un autre compte, l'ajout d'un compte à la politique d'approbation d'un rôle n'est qu'une partie de la procédure d'établissement de la relation d'approbation entre comptes. Par défaut, aucun utilisateur des comptes approuvés ne peut endosser le rôle. L'administrateur du compte nouvellement approuvé doit accorder aux utilisateurs l'autorisation d'endosser le rôle. Pour ce faire, l'administrateur doit créer ou modifier une politique attachée à l'utilisateur pour lui permettre d'accéder à l'action sts:AssumeRole. Pour plus d'informations, consultez la procédure suivante ou Accorder à un utilisateur l'autorisation de changer de rôle.

  4. Pour utiliser le fichier créé afin de mettre à jour la politique de confiance, appelez l'opération suivante :

Pour autoriser les utilisateurs d'un compte externe approuvé à utiliser le rôle (AWS API)

Pour plus d'informations sur cette procédure, consultez Accorder à un utilisateur l'autorisation de changer de rôle.

  1. Créez un JSON fichier contenant une politique d'autorisation qui accorde les autorisations nécessaires pour assumer le rôle. Par exemple, la politique suivante contient les autorisations nécessaires minimales :

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Remplacez le ARN dans l'instruction par le ARN nom du rôle que l'utilisateur peut assumer.

  2. Appelez l'opération suivante pour télécharger le JSON fichier contenant la politique de confiance vers IAM :

    Le résultat de cette opération inclut ARN la politique. Prenez note de cela, ARN car vous en aurez besoin ultérieurement.

  3. Décidez à quel utilisateur ou groupe attacher la politique. Si vous ne connaissez pas le nom de l'utilisateur ou du groupe concerné, appelez les opérations suivantes pour répertorier les utilisateurs ou les groupes de votre compte :

  4. Appelez l'une des opérations suivantes pour attacher la politique créée à l'étape précédente à l'utilisateur ou au groupe :