Création et attachement d'une stratégie à un utilisateur

Pour permettre à un utilisateur d'appeler le service de gestion des API ou le service d'exécution des API, vous devez créer une politique IAM qui contrôle l'accès aux entités API Gateway.

Pour utiliser l'éditeur de politique JSON afin de créer une politique

Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

Si vous sélectionnez Politiques pour la première fois, la page Bienvenue dans les politiques gérées s'affiche. Sélectionnez Mise en route.
En haut de la page, sélectionnez Créer une politique.
Dans la section Éditeur de politiques, choisissez l'option JSON.

Entrez le document de politique JSON suivant :


{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    }
  ]
}

Choisissez Next (Suivant).

Note
Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, consulte Restructuration d'une politique dans le Guide de l'utilisateur IAM.
Sur la page Vérifier et créer, saisissez un Nom de politique et une Description (facultative) pour la politique que vous créez. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique.
Choisissez Create policy (Créer une politique) pour enregistrer votre nouvelle politique.

Dans cette déclaration, remplacez action-statement et resource-statement si nécessaire, et ajoutez d'autres déclarations pour spécifier les entités API Gateway que vous voulez autoriser l'utilisateur à gérer, les méthodes d'API que l'utilisateur peut appeler ou les deux. Par défaut, l'utilisateur ne dispose pas d'autorisations, à moins qu'il existe une déclaration Allow correspondante explicite.

Vous venez de créer une stratégie IAM. Elle n'aura aucun effet tant que vous ne l'aurez pas attachée.

Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d'autorisations. Suivez les instructions de la rubrique Création d'un jeu d'autorisations du Guide de l'utilisateur AWS IAM Identity Center.
Utilisateurs gérés dans IAM par un fournisseur d'identité :

Créez un rôle pour la fédération d'identité. Pour plus d'informations, voir la rubrique Création d'un rôle pour un fournisseur d'identité tiers (fédération) du Guide de l'utilisateur IAM.
Utilisateurs IAM :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d'un rôle pour un utilisateur IAM du Guide de l'utilisateur IAM.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d'utilisateurs. Suivez les instructions de la rubrique Ajout d'autorisations à un utilisateur (console) du Guide de l'utilisateur IAM.

Pour attacher un document de stratégie IAM à un groupe IAM

Dans le volet de navigation principal, choisissez Groupes.
Choisissez l'onglet Autorisations sous le groupe choisi.
Choisissez Attach policy (Attacher une politique).
Choisissez le document de stratégie que vous avez précédemment créé, puis sélectionnez Attacher la stratégie.

Pour qu'API Gateway puisse appeler d'autres services AWS en votre nom, créez un rôle IAM du type Amazon API Gateway.

Pour créer un type de rôle Amazon API Gateway

Dans le volet de navigation principal, choisissez Rôles.
Choisissez Create New Role.
Tapez un nom pour Nom du rôle, puis choisissez Étape suivante.
Sous Sélectionner un type de rôle, dans Rôles de service AWS, choisissez Sélectionner à côté d'Amazon API Gateway.
Choisissez une stratégie d'autorisations IAM gérées disponible, par exemple, AmazonAPIGatewayPushToCloudWatchLog si vous voulez qu'API Gateway enregistre les métriques dans CloudWatch, sous Attach Policy (Attacher la stratégie), puis choisissez Next Step (Étape suivante).
Sous Entités de confiance, vérifiez qu'apigateway.amazonaws.com apparaît comme une entrée, puis choisissez Créer un rôle.
Dans le rôle nouvellement créé, sélectionnez l'onglet Autorisations, puis choisissez Attacher la stratégie.
Sélectionnez le document de stratégie IAM personnalisé précédemment créé, puis choisissez Attach Policy (Attacher la stratégie).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de stratégies IAM pour les autorisations d'exécution d'API

Utilisation de stratégies de point de terminaison de VPC pour des API privées

Création et attachement d'une stratégie à un utilisateur

Pour utiliser l'éditeur de politique JSON afin de créer une politique

Note

Pour attacher un document de stratégie IAM à un groupe IAM

Pour créer un type de rôle Amazon API Gateway