Présentation du langage d'access policy pour Amazon API Gateway - Amazon API Gateway
Éléments courants dans une stratégie d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation du langage d'access policy pour Amazon API Gateway

Cette page décrit les éléments de base utilisés dans les stratégies de ressources Amazon API Gateway.

Les stratégies de ressources sont spécifiés en utilisant la même syntaxe que dans les stratégies IAM. Pour obtenir des informations complètes sur le langage de politique d'accès, veuillez consulter Présentation des politiques IAM et Référence des stratégies AWS Identity and Access Management dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur la manière dont un AWS service décide si une demande donnée doit être autorisée ou refusée, voir Déterminer si une demande est autorisée ou refusée.

Éléments courants dans une stratégie d'accès

Une stratégie de ressources contient à la base les éléments suivants :

  • Ressources – Les API sont les ressources Amazon API Gateway pour lesquelles vous pouvez accorder ou refuser des autorisations. Dans une stratégie, vous pouvez utiliser l'Amazon Resource Name (ARN) pour identifier la ressource. Vous pouvez également utiliser une syntaxe abrégée, qui sera automatiquement développée par API Gateway en ARN complet lors de l'enregistrement d'une stratégie de ressources. Pour en savoir plus, veuillez consulter la section Exemples de stratégies de ressources API Gateway.

    Pour connaître le format de l'élément Resource complet, veuillez consulter Format de l'expression Resource des autorisations d'exécution d'API dans API Gateway.

  • Actions – pour chaque ressource, Amazon API Gateway prend en charge un ensemble d'opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d'action.

    Par exemple, l'autorisation execute-api:Invoke va permettre à l'utilisateur d'appeler une API sur demande d'un client.

    Pour connaître le format de l'élément Action, consultez Format de l'expression Action des autorisations d'exécution d'API dans API Gateway.

  • Effet – L'effet produit lorsque l'utilisateur demande une action spécifique. Il peut s'agir de Allow ou Deny. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente octroie l'accès.

    Note

    « Refus implicite » est la même chose que « Refus par défaut ».

    Un « refus implicite » est différent d'un « refus explicite ». Pour de plus amples informations, veuillez consulter Différence entre refus par défaut et refus explicite.

  • Principal – Compte ou utilisateur autorisé à accéder aux actions ou ressources dans l'instruction. Dans une stratégie de ressources, le principal est l'utilisateur ou le compte qui reçoit cette autorisation.

L'exemple de stratégie de ressources suivant montre les éléments de stratégie courants précédemment évoqués. La stratégie octroie l'accès à toutes les API sous l'ID account-id dans la région spécifiée à tous les utilisateurs dont l'adresse IP source se trouve dans le bloc d'adresses 123.4.5.6/24. La stratégie refuse tout accès à l'API si l'adresse IP source de l'utilisateur n'est pas comprise dans cette plage.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}