Présentation du langage de la politique d'accès pour Amazon API Gateway - APIPasserelle Amazon
Éléments courants dans une stratégie d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation du langage de la politique d'accès pour Amazon API Gateway

Cette page décrit les éléments de base utilisés dans les politiques de ressources d'Amazon API Gateway.

Les politiques de ressources sont spécifiées à l'aide de la même syntaxe que IAM les politiques. Pour obtenir des informations complètes sur le langage des politiques, voir Présentation des IAM politiques et référence aux AWS Identity and Access Management politiques dans le guide de IAM l'utilisateur.

Pour plus d'informations sur la manière dont un AWS service décide si une demande donnée doit être autorisée ou refusée, voir Déterminer si une demande est autorisée ou refusée.

Éléments courants dans une stratégie d'accès

Une stratégie de ressources contient à la base les éléments suivants :

  • Ressources : APIs il s'agit des ressources Amazon API Gateway pour lesquelles vous pouvez autoriser ou refuser des autorisations. Dans une politique, vous utilisez le nom de la ressource Amazon (ARN) pour identifier la ressource. Vous pouvez également utiliser une syntaxe abrégée, que API Gateway étend automatiquement au maximum ARN lorsque vous enregistrez une politique de ressources. Pour en savoir plus, veuillez consulter la section APIExemples de politiques relatives aux ressources de passerelle.

    Pour connaître le format de l'élément Resource complet, veuillez consulter Format de ressource des autorisations pour l'exécution API dans API Gateway.

  • Actions — Pour chaque ressource, Amazon API Gateway prend en charge un ensemble d'opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d'action.

    Par exemple, l'execute-api:Invokeautorisation permettra à l'utilisateur d'invoquer une API demande auprès d'un client.

    Pour connaître le format de l'élément Action, consultez Format d'action des autorisations d'exécution API dans API Gateway.

  • Effet – L'effet produit lorsque l'utilisateur demande une action spécifique. Il peut s'agir de Allow ou Deny. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente octroie l'accès.

    Note

    « Refus implicite » est la même chose que « Refus par défaut ».

    Un « refus implicite » est différent d'un « refus explicite ». Pour de plus amples informations, veuillez consulter Différence entre refus par défaut et refus explicite.

  • Principal – Compte ou utilisateur autorisé à accéder aux actions ou ressources dans l'instruction. Dans une stratégie de ressources, le principal est l'utilisateur ou le compte qui reçoit cette autorisation.

L'exemple de stratégie de ressources suivant montre les éléments de stratégie courants précédemment évoqués. La politique accorde l'accès à la valeur API inférieure à la valeur spécifiée account-id dans le champ spécifié region à tout utilisateur dont l'adresse IP source se trouve dans le bloc d'adresses 123.4.5.6/24. La politique refuse tout accès à API si l'adresse IP source de l'utilisateur n'est pas comprise dans la plage.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}