Bonnes pratiques en matière de stratégies Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Exemples de stratégies basées sur l'identité Alexa for Business

Par défaut, les utilisateurs et rôles IAM ne sont pas autorisés à créer ou modifier des ressources Alexa for Business. De même, ils ne peuvent pas effectuer des tâches à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou de l'API AWS. Un administrateur IAM doit créer des stratégies IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.

Pour plus d'informations sur la création d'une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, consultezCréation de stratégies dans l'onglet JSONdans leGuide de l'utilisateur IAM.

Rubriques

Bonnes pratiques en matière de stratégies
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Bonnes pratiques en matière de stratégies

Les stratégies basées sur l'identité sont très puissantes. Elles déterminent si une personne peut créer, consulter ou supprimer des ressources Alexa for Business dans votre compte. Ces actions peuvent entraîner des frais pour votre compte AWS. Lorsque vous créez ou modifiez des stratégies basées sur l'identité, suivez ces instructions et recommandations :

Mise en route avec les stratégies gérées par AWS- Pour commencer à utiliser rapidement Alexa for Business, utilisez des stratégies gérées par AWS pour accorder à vos employés les autorisations dont ils ont besoin. Ces stratégies sont déjà disponibles dans votre compte et sont gérées et mises à jour par AWS. Pour de plus amples informations, veuillez consulter Mise en route avec les autorisations à l'aide des stratégies gérées AWS dans le Guide de l’utilisateur IAM.
Accorder le privilège le plus faible : Lorsque vous créez des stratégies personnalisées, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Commencez avec un minimum d'autorisations et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard. Pour de plus amples informations, veuillez consulter Accorder les privilèges les plus faibles possible dans le Guide de l’utilisateur IAM.
Activer la MFA pour les opérations confidentielles : Pour plus de sécurité, demandez aux utilisateurs IAM d'utiliser la Multi-Factor Authentication (MFA) pour accéder à des ressources ou à des opérations d'API confidentielles. Pour de plus amples informations, veuillez consulter Utilisation de l’authentification multi-facteur (MFA) dans AWS dans le Guide de l’utilisateur IAM.
Utiliser des conditions de stratégie pour davantage de sécurité : Définissez les conditions dans lesquelles vos stratégies basées sur l'identité autorisent l'accès à une ressource, dans la mesure où cela reste pratique. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d'adresses IP autorisées d'où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriser les requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l'utilisation de SSL ou de MFA. Pour de plus amples informations, veuillez consulterÉléments de stratégie JSON IAM : Conditiondans leGuide de l'utilisateur IAM.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une stratégie qui permet aux utilisateurs IAM d'afficher les stratégies en ligne et gérées attachées à leur identité d'utilisateur. Cette stratégie inclut les autorisations nécessaires pour réaliser cette action sur la console ou par programmation à l'aide de l’interface de ligne de commande AWS ou de l’API AWS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment Alexa for Business fonctionne avec IAM

Dépannage IAM