Amazon Monitron ne sera plus ouvert aux nouveaux clients à compter du 31 octobre 2024. Si vous souhaitez utiliser le service, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour des fonctionnalités similaires à celles d'Amazon Monitron, consultez notre article de blog
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment fonctionne Amazon Monitron avec IAM
Avant de gérer l'IAMaccès à Amazon Monitron, vous devez connaître les IAM fonctionnalités disponibles pour Amazon Monitron. Pour obtenir une vue d'ensemble du fonctionnement d'Amazon Monitron et des autres AWS servicesIAM, consultez la section AWS Services That Work with du guide IAM de l'IAMutilisateur.
Rubriques
- Politiques basées sur l'identité d'Amazon Monitron
- Politiques basées sur les ressources d'Amazon Monitron
- Autorisation basée sur les tags Amazon Monitron
- Rôles Amazon Monitron IAM
- Exemples de politiques basées sur l'identité Amazon Monitron
- Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron
Politiques basées sur l'identité d'Amazon Monitron
Pour spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées, utilisez des politiques IAM basées sur l'identité. Amazon Monitron prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la section Référence des éléments de IAM JSON stratégie dans le guide de IAM l'utilisateur.
Actions
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Dans Amazon Monitron, les actions politiques utilisent le préfixe suivant avant l'action :. monitron: Par exemple, pour autoriser quelqu'un à créer un projet avec l'CreateProjectopération Amazon Monitron, vous devez inclure l'monitron:CreateProjectaction dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon Monitron définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Note
Pour effectuer deleteProject cette opération, vous devez disposer des autorisations de suppression AWS IAM Identity Center (SSO). Sans ces autorisations, la fonctionnalité de suppression supprimera tout de même le projet. Cependant, cela ne supprimera pas les ressources SSO et vous risquez de vous retrouver avec des références pendantes. SSO
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [ "monitron:action1", "monitron:action2" ]
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot List, incluez l’action suivante :
"Action": "monitron:List*"
Ressources
Amazon Monitron ne prend pas en charge la spécification de ressources ARNs dans une politique.
Clés de condition
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez IAMla section Éléments de politique : variables et balises dans le Guide de IAM l'utilisateur.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.
Amazon Monitron définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour obtenir la liste de toutes les clés de condition AWS globales, voir Clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.
Pour consulter la liste des clés de condition Amazon Monitron, consultez la section Actions définies par Amazon Monitron dans IAM le guide de l'utilisateur. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez Clés de condition pour Amazon Monitron.
Exemples
Pour consulter des exemples de politiques basées sur l'identité d'Amazon Monitron, consultez. Exemples de politiques basées sur l'identité Amazon Monitron
Politiques basées sur les ressources d'Amazon Monitron
Amazon Monitron ne prend pas en charge les politiques basées sur les ressources.
Autorisation basée sur les tags Amazon Monitron
Vous pouvez associer des balises à certains types de ressources Amazon Monitron à des fins d'autorisation. Pour contrôler l'accès en fonction des balises, fournissez les informations relatives aux balises dans l'élément de condition d'une politique à l'aide des clés Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, ou de aws:TagKeys condition.
Rôles Amazon Monitron IAM
Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec Amazon Monitron
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.
Amazon Monitron prend en charge l'utilisation d'informations d'identification temporaires.
Rôles liés à un service
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un IAM administrateur peut consulter mais pas modifier les autorisations pour les rôles liés à un service.
Amazon Monitron prend en charge les rôles liés aux services.
Rôles de service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
Amazon Monitron prend en charge les rôles de service.
Exemples de politiques basées sur l'identité Amazon Monitron
Par défaut, IAM les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources Amazon Monitron. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console. Un IAM administrateur doit accorder des autorisations aux IAM utilisateurs, aux groupes ou aux rôles qui en ont besoin. Ces utilisateurs, groupes ou rôles peuvent ensuite effectuer les opérations spécifiques sur les ressources spécifiques dont ils ont besoin. L'administrateur doit ensuite associer ces politiques aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du guide de l'IAMutilisateur.
Rubriques
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Monitron de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Valider les politiques avec IAM Access Analyzer dans le guide de l'IAMutilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section APIAccès sécurisé avec MFA dans le guide de IAM l'utilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Utilisation de la console Amazon Monitron
Pour configurer Amazon Monitron à l'aide de la console, veuillez effectuer le processus de configuration initiale en utilisant un utilisateur doté de privilèges élevés (par exemple, un utilisateur auquel est attachée la politique AdministratorAccess gérée).
Pour accéder à la console Amazon Monitron pour les day-to-day opérations après la configuration initiale, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressources Amazon Monitron de votre AWS compte et inclure un ensemble d'autorisations liées à IAM Identity Center. Si vous créez une politique basée sur l'identité qui est plus restrictive que ces autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (IAMutilisateurs ou rôles) dotées de cette politique. Pour bénéficier des fonctionnalités de base de la console Amazon Monitron, vous devez joindre la politique AmazonMonitronFullAccess gérée. Selon les circonstances, vous pouvez également avoir besoin d'autorisations supplémentaires pour accéder aux Organizations et au SSO service. Contactez le AWS support si vous avez besoin de plus d'informations.
Exemple : Répertorier tous les projets Amazon Monitron
Cet exemple de politique accorde à un IAM utilisateur de votre AWS compte l'autorisation de répertorier tous les projets de votre compte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "monitron:ListProject" "Resource": "*" } ] }
Exemple : Répertorier les projets Amazon Monitron en fonction de balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux ressources Amazon Monitron en fonction de balises. Cet exemple montre comment créer une politique permettant de répertorier des projets. Toutefois, l'autorisation n'est accordée que si la balise du projet location a la valeur deSeattle. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListProjectsInConsole", "Effect": "Allow", "Action": "monitron:ListProjects", "Resource": "*" "Condition": { "StringEquals": { "aws:ResourceTag/location": "Seattle" } } } ] }
Pour plus d'informations, voir Éléments IAM JSON de politique : condition dans le guide de IAM l'utilisateur.
Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Monitron et. IAM
Rubriques
Je ne suis pas autorisé à effectuer une action dans Amazon Monitron
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L'exemple d'erreur suivant se produit lorsque l'mateojacksonIAMutilisateur essaie d'utiliser la console pour afficher les détails d'une my-example-widgetmonitron: autorisations fictives.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
Dans ce cas, la politique qui s’applique à l’utilisateur mateojackson doit être mise à jour pour autoriser l’accès à la ressource my-example-widgetmonitron:.GetWidget
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Monitron
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour en savoir plus, consultez les éléments suivants :
-
Pour savoir si Amazon Monitron prend en charge ces fonctionnalités, consultez. Comment fonctionne Amazon Monitron avec IAM
-
Pour savoir comment donner accès à vos ressources sur un site Comptes AWS qui vous appartient, consultez la section Fournir l'accès à un IAM utilisateur dans un autre site Compte AWS que vous possédez dans le Guide de IAM l'utilisateur.
-
Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section Fournir un accès à des ressources Comptes AWS détenues par des tiers dans le Guide de IAM l'utilisateur.
-
Pour savoir comment fournir un accès via la fédération d'identité, consultez la section Fournir un accès aux utilisateurs authentifiés de manière externe (fédération d'identité) dans le guide de l'IAMutilisateur.
-
Pour connaître la différence entre l'utilisation de rôles et l'utilisation de politiques basées sur les ressources pour l'accès entre comptes, voir Accès aux ressources entre comptes IAM dans le guide de l'IAMutilisateur.
