Structure d’une politique - AWS Batch
Syntaxe d’une politiqueActions pour AWS BatchAmazon Resource Names (ARN) pour AWS BatchTest des autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Structure d’une politique

Les rubriques suivantes expliquent la structure d’une politique IAM.

Syntaxe d’une politique

Une politique IAM est un document JSON qui se compose d’une ou de plusieurs déclarations. Chaque déclaration est structurée comme suit :

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Une déclaration se compose de différents éléments :

  • Effect : effect peut avoir la valeur Allow ou Deny. Par défaut, les utilisateurs ne sont pas autorisés à utiliser les ressources et les actions d'API. Toutes les demandes sont donc rejetées. Une autorisation explicite remplace l’autorisation par défaut. Un refus explicite remplace toute autorisation.

  • Action : L'action est l'action d'API spécifique pour laquelle vous accordez ou refusez l'autorisation. Pour obtenir des instructions sur la manière de spécifier l'action, reportez-vous à la sectionActions pour AWS Batch.

  • Resource : la ressource affectée par l’action. Avec certaines actions d'AWS BatchAPI, vous pouvez inclure dans votre politique des ressources spécifiques qui peuvent être créées ou modifiées par l'action. Pour spécifier une ressource dans la déclaration, vous utilisez son nom Amazon Resource Name (ARN). Pour plus d’informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations d'API Amazon AWS Batch et Amazon Resource Names (ARN) pour AWS Batch. Si l'opération AWS Batch d'API ne prend actuellement pas en charge les autorisations au niveau des ressources, incluez un caractère générique (*) pour indiquer que toutes les ressources peuvent être affectées par l'action.

  • Condition : les conditions sont facultatives. Elles permettent de contrôler à quel moment votre politique est effective.

Pour plus d'informations sur les exemples de déclarations de politique IAM pourAWS Batch, consultezCréation de AWS Batch politiques IAM.

Actions pour AWS Batch

Dans une déclaration de politique IAM, vous pouvez spécifier une action d’API à partir de n’importe quel service prenant en charge IAM. PourAWS Batch, utilisez le préfixe suivant avec le nom de l'action d'API : batch: (par exemple, batch:SubmitJob etbatch:CreateComputeEnvironment).

Pour spécifier plusieurs actions dans une seule instruction, séparez-les par une virgule.

"Action": ["batch:action1", "batch:action2"]

Vous pouvez également spécifier plusieurs actions en incluant un caractère générique (*). Par exemple, vous pouvez spécifier toutes les actions avec un nom commençant par le mot « Décrire ».

"Action": "batch:Describe*"

Pour spécifier toutes les actions AWS Batch d'API, incluez un caractère générique (*).

"Action": "batch:*"

Pour obtenir la liste des AWS Batch actions, consultez la section Actions dans la référence de l'AWS BatchAPI.

Amazon Resource Names (ARN) pour AWS Batch

Chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leurs Amazon Resource Names (ARN).

La syntaxe générale d'un Amazon Resource Name (ARN) est la suivante :

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
web

Le service (par exemple, batch).

region

Le Région AWS pour la ressource (par exemple,us-east-2).

account

ID Compte AWS du compte sans trait d'union (123456789012, par exemple).

resourceType

Le type de ressource (par exemple, compute-environment).

chemin de la ressource

Un chemin qui identifie la ressource. Vous pouvez utiliser un caractère générique (*) dans vos tracés.

AWS BatchLes opérations d'API prennent actuellement en charge les autorisations au niveau des ressources pour plusieurs opérations d'API. Pour plus d'informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations d'API Amazon AWS Batch. Pour spécifier toutes les ressources, ou si une action d'API spécifique ne prend pas en charge les ARN, incluez un caractère générique (*) dans l'Resourceélément.

"Resource": "*"

Vérification que les utilisateurs ont les autorisations requises

Avant de mettre une politique IAM en production, assurez-vous qu'elle accorde aux utilisateurs les autorisations nécessaires pour utiliser les actions et les ressources d'API spécifiques dont ils ont besoin.

Pour ce faire, créez d'abord un utilisateur à des fins de test et associez la politique IAM à l'utilisateur de test. Ensuite, créez une demande en tant qu’utilisateur test. Vous pouvez tester les demandes dans la console ou avec l'AWS CLI.

Note

Vous pouvez également tester vos politiques à l'aide du simulateur de politiques IAM. Pour plus d'informations sur le simulateur de politiques, consultez la section Utilisation du simulateur de politiques IAM dans le guide de l'utilisateur d'IAM.

Si la stratégie n'accorde pas à l'utilisateur les autorisations que vous escomptiez, ou si elles sont trop excessives, vous pouvez ajuster la stratégie selon vos besoins. Testez-la à nouveau jusqu'à ce que vous obteniez les résultats souhaités.

Important

La propagation des modifications de la politique peut durer plusieurs minutes avant qu’elles ne prennent effet. Par conséquent, nous vous recommandons de laisser passer au moins cinq minutes avant de tester les mises à jour de vos politiques.

Si un contrôle d’autorisation échoue, la demande retourne un message codé avec les informations de diagnostic. Vous pouvez décoder le message à l’aide de l’action DecodeAuthorizationMessage. Pour plus d'informations, reportez-vous DecodeAuthorizationMessageà la référence de l'AWS Security Token ServiceAPI et decode-authorization-messageà la référence des AWS CLI commandes.