Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Firewall Manager
AWS Firewall Manager (préfixe de service : fms) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Firewall Manager
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateAdminAccount | Accorde l'autorisation de définir le compte d'administrateur AWS Firewall Manager et active le service dans tous les comptes de l'organisation | Écrire | |||
| AssociateThirdPartyFirewall | Accorde l'autorisation de définir l'administrateur Firewall Manager en tant qu'administrateur locataire d'un service de pare-feu tiers | Écrire | |||
| BatchAssociateResource | Accorde l'autorisation d'associer des ressources à un ensemble de ressources AWS Firewall Manager | Écrire | |||
| BatchDisassociateResource | Accorde l'autorisation de dissocier des ressources d'un ensemble de ressources AWS Firewall Manager | Écrire | |||
| DeleteAppsList | Accorde l'autorisation de supprimer définitivement une liste d'applications AWS Firewall Manager | Écriture | |||
| DeleteNotificationChannel | Accorde l'autorisation de supprimer une association AWS Firewall Manager entre le rôle IAM et la rubrique Amazon Simple Notification Service (SNS) permettant d'informer l'administrateur FM d'événements et d'erreurs FM majeurs dans l'organisation | Écriture | |||
| DeletePolicy | Accorde l'autorisation de supprimer définitivement une politique AWS Firewall Manager | Écriture | |||
| DeleteProtocolsList | Accorde l'autorisation de supprimer définitivement une liste de protocoles AWS Firewall Manager | Écrire | |||
| DeleteResourceSet | Accorde l'autorisation de supprimer définitivement un ensemble de ressources AWS Firewall Manager | Écrire | |||
| DisassociateAdminAccount | Accorde l'autorisation de dissocier le compte défini comme le compte d'administrateur AWS Firewall Manager et désactive le service dans tous les comptes de l'organisation | Écrire | |||
| DisassociateThirdPartyFirewall | Accorde l'autorisation de dissocier un administrateur Firewall Manager d'un locataire de pare-feu tiers | Écrire | |||
| GetAdminAccount | Accorde l'autorisation de récupérer le compte principal AWS Organizations associé à AWS Firewall Manager en tant qu'administrateur AWS Firewall Manager | Lire | |||
| GetAdminScope | Accorde l'autorisation de renvoyer des informations sur la portée administrative du compte spécifié | Lire | |||
| GetAppsList | Accorde l'autorisation de renvoyer des informations sur la liste des applications AWS Firewall Manager spécifiée | Lecture | |||
| GetComplianceDetail | Accorde l'autorisation de récupérer des informations détaillées de conformité sur le compte de membre spécifié Ces informations détaillées incluent les ressources conformes et non conformes à la politique spécifiée. | Lecture | |||
| GetNotificationChannel | Accorde l'autorisation de récupérer des informations sur la rubrique Amazon Simple Notification Service (SNS) utilisée pour enregistrer les journaux SNS AWS Firewall Manager | Lecture | |||
| GetPolicy | Accorde l'autorisation de récupérer des informations sur la politique AWS Firewall Manager spécifiée | Lecture | |||
| GetProtectionStatus | Accorde l'autorisation de récupérer des informations récapitulatives sur l'attaque au niveau de la politique dans le cas d'une attaque DDoS potentielle | Lecture | |||
| GetProtocolsList | Accorde l'autorisation de renvoyer des informations sur la liste des protocoles AWS Firewall Manager spécifiée | Lire | |||
| GetResourceSet | Accorde l'autorisation de récupérer des informations sur l'ensemble de ressources AWS Firewall Manager spécifié | Lire | |||
| GetThirdPartyFirewallAssociationStatus | Accorde l'autorisation de récupérer le statut d'onboarding d'un compte administrateur Firewall Manager au locataire d'un fournisseur de pare-feu tiers | Lire | |||
| GetViolationDetails | Accorde l'autorisation de récupérer des violations pour une ressource en fonction de la politique AWS Firewall Manager et du Compte AWS spécifiés | Lire | |||
| ListAdminAccountsForOrganization | Accorde l'autorisation de renvoyer un objet AdminAccounts répertoriant les administrateurs de Firewall Manager de l'organisation qui sont intégrés à Firewall Manager par AssociateAdminAccount | Liste | |||
| ListAdminsManagingAccount | Accorde l'autorisation de répertorier les comptes qui gèrent le compte membre AWS Organizations spécifié | Liste | |||
| ListAppsLists | Accorde l'autorisation de renvoyer un tableau d'objets AppsListDataSummary | Liste | |||
| ListComplianceStatus | Accorde l'autorisation de récupérer un tableau d'objets PolicyComplianceStatus dans la réponse Utilise PolicyComplianceStatus pour obtenir un résumé des comptes membres protégés par la politique spécifiée. | Liste | |||
| ListDiscoveredResources | Accorde l'autorisation de récupérer un tableau de ressources dans les comptes de l'organisation pouvant être associées à un ensemble de ressources | Liste | |||
| ListMemberAccounts | Accorde l'autorisation de récupérer un tableau d'ID de compte membre si le mandataire est le compte d'administrateur FMS | Liste | |||
| ListPolicies | Accorde l'autorisation de récupérer un tableau d'objets PolicySummary dans la réponse | Liste | |||
| ListProtocolsLists | Accorde l'autorisation de renvoyer un tableau d'objets ProtocolsListDataSummary | Liste | |||
| ListResourceSetResources | Accorde l'autorisation de récupérer un tableau de ressources associées à un ensemble de ressources | Liste | |||
| ListResourceSets | Accorde l'autorisation de récupérer un tableau d'objets ResourceSetSummary | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises d'une ressource donnée | Lire | |||
| ListThirdPartyFirewallFirewallPolicies | Accorde l'autorisation de récupérer une liste de toutes les politiques de pare-feu tiers associées au compte de l'administrateur du pare-feu tiers | Liste | |||
| PutAdminAccount | Accorde l'autorisation de créer ou de mettre à jour un compte administrateur de Firewall Manager | Écrire | |||
| PutAppsList | Accorde l'autorisation de créer une liste d'applications AWS Firewall Manager | Écriture | |||
| PutNotificationChannel | Accorde l'autorisation de désigner le rôle IAM et la rubrique Amazon Simple Notification Service (SNS) permettant à AWS Firewall Manager (FM) d'informer l'administrateur FM d'événements et d'erreurs FM majeurs dans l'organisation | Écriture | |||
| PutPolicy | Accorde l'autorisation de créer une politique AWS Firewall Manager | Écriture | |||
| PutProtocolsList | Accorde l'autorisation de créer une liste de protocoles AWS Firewall Manager | Écrire | |||
| PutResourceSet | Accorde l'autorisation de créer un ensemble de ressources AWS Firewall Manager | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter une balise à une ressource donnée | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une balise d'une ressource donnée | Balisage | |||
Types de ressources définis par AWS Firewall Manager
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| policy |
arn:${Partition}:fms:${Region}:${Account}:policy/${Id}
|
|
| applications-list |
arn:${Partition}:fms:${Region}:${Account}:applications-list/${Id}
|
|
| protocols-list |
arn:${Partition}:fms:${Region}:${Account}:protocols-list/${Id}
|
|
| resource-set |
arn:${Partition}:fms:${Region}:${Account}:resource-set/${Id}
|
Clés de condition pour AWS Firewall Manager
AWS Firewall Manager définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la requête | ArrayOfString |
