Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stratégies basées sur l’identité pour AWS AppSync
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier AWS AppSync des ressources. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Créer des IAM politiques (console) dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par AWS AppSync, y compris le format de ARNs pour chacun des types de ressources, voir Actions, ressources et clés de condition AWS AppSync dans la référence d'autorisation de service.
Pour connaître les meilleures pratiques en matière de création et de configuration de politiques IAM basées sur l'identité, consultez. IAMmeilleures pratiques en matière de politiques
Pour obtenir la liste des politiques IAM basées sur l'identité pour AWS AppSync, voir. AWS politiques gérées pour AWS AppSync
Rubriques
Utilisation de la AWS AppSync console
Pour accéder à la AWS AppSync console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS AppSync des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement vers le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.
Pour garantir que IAM les utilisateurs et les rôles peuvent toujours utiliser la AWS AppSync console, associez également la politique AWS AppSync ConsoleAccess
ou la politique ReadOnly
AWS gérée aux entités. Pour plus d'informations, consultez la section Ajouter des autorisations à un utilisateur dans le Guide de IAM l'utilisateur.
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Accès à un compartiment Amazon S3
Dans cet exemple, vous souhaitez accorder à un IAM utilisateur de votre AWS compte l'accès à l'un de vos compartiments Amazon S3. examplebucket
Vous souhaitez également autoriser l'utilisateur à ajouter, mettre à jour et supprimer des objets.
En plus de l'octroi des autorisations s3:PutObject
, s3:GetObject
et s3:DeleteObject
à l'utilisateur, la stratégie octroie aussi les autorisations s3:ListAllMyBuckets
, s3:GetBucketLocation
et s3:ListBucket
. Ces conditions supplémentaires sont requises par la console. De la même manière, les actions s3:PutObjectAcl
et s3:GetObjectAcl
sont nécessaires pour que les objets puissent être copiés, coupés et collés dans la console. Pour un exemple de procédure pas à pas qui accorde des autorisations aux utilisateurs et les teste à l'aide de la console, consultez Un exemple de procédure pas à pas : utilisation de politiques utilisateur pour contrôler l'accès à votre compartiment.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListBucketsInConsole", "Effect":"Allow", "Action":[ "s3:ListAllMyBuckets" ], "Resource":"arn:aws:s3:::*" }, { "Sid":"ViewSpecificBucketInfo", "Effect":"Allow", "Action":[ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource":"arn:aws:s3:::examplebucket" }, { "Sid":"ManageBucketContents", "Effect":"Allow", "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:GetObjectAcl", "s3:DeleteObject" ], "Resource":"arn:aws:s3:::examplebucket/*" } ] }
Visualisation AWS AppSync widgets
basé sur des tags
Vous pouvez utiliser des conditions dans votre politique basée sur l'identité pour contrôler l'accès aux AWS AppSync ressources en fonction de balises. Cet exemple montre comment vous pouvez créer une politique qui permet d'afficher un widget
. Toutefois, l'autorisation n'est accordée que si widget
tag Owner
a la valeur du nom d'utilisateur de cet utilisateur. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListWidgetsInConsole", "Effect": "Allow", "Action": "appsync:ListWidgets", "Resource": "*" }, { "Sid": "ViewWidgetIfOwner", "Effect": "Allow", "Action": "appsync:GetWidget", "Resource": "arn:aws:appsync:*:*:widget/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
Vous pouvez associer cette politique aux IAM utilisateurs de votre compte. Si un utilisateur nommé richard-roe
tente de consulter un AWS AppSync widget
, le widget
doit être étiqueté Owner=richard-roe
ouowner=richard-roe
. Dans le cas contraire, l'utilisateur se voit refuser l'accès. La clé de condition d'étiquette Owner
correspond à la fois à Owner
et à owner
, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.