Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Structure d’une politique
Les rubriques suivantes expliquent la structure d’une politique IAM.
Rubriques
Syntaxe d’une politique
Une politique IAM est un document JSON qui se compose d’une ou de plusieurs déclarations. Chaque déclaration est structurée comme suit :
{ "Statement":[{ "Effect":"
effect
", "Action":"action
", "Resource":"arn
", "Condition":{ "condition
":{ "key
":"value
" } } } ] }
Une déclaration se compose de différents éléments :
-
Effect : effect peut avoir la valeur
Allow
ouDeny
. Par défaut, les utilisateurs ne sont pas autorisés à utiliser les ressources et les actions d'API. Toutes les demandes sont donc rejetées. Une autorisation explicite remplace l’autorisation par défaut. Un refus explicite remplace toute autorisation. -
Action : L'action est l'action d'API spécifique pour laquelle vous accordez ou refusez l'autorisation. Pour obtenir des instructions sur la manière de spécifier l'action, reportez-vous à la sectionActions pour AWS Batch.
-
Resource : la ressource affectée par l’action. Avec certaines actions d'AWS BatchAPI, vous pouvez inclure dans votre politique des ressources spécifiques qui peuvent être créées ou modifiées par l'action. Pour spécifier une ressource dans la déclaration, vous utilisez son nom Amazon Resource Name (ARN). Pour plus d’informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations d'API Amazon AWS Batch et Amazon Resource Names (ARN) pour AWS Batch. Si l'opération AWS Batch d'API ne prend actuellement pas en charge les autorisations au niveau des ressources, incluez un caractère générique (*) pour indiquer que toutes les ressources peuvent être affectées par l'action.
-
Condition : les conditions sont facultatives. Elles permettent de contrôler à quel moment votre politique est effective.
Pour plus d'informations sur les exemples de déclarations de politique IAM pourAWS Batch, consultezCréation de AWS Batch politiques IAM.
Actions pour AWS Batch
Dans une déclaration de politique IAM, vous pouvez spécifier une action d’API à partir de n’importe quel service prenant en charge IAM. PourAWS Batch, utilisez le préfixe suivant avec le nom de l'action d'API : batch:
(par exemple, batch:SubmitJob
etbatch:CreateComputeEnvironment
).
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par une virgule.
"Action": ["batch:action1", "batch:action2"]
Vous pouvez également spécifier plusieurs actions en incluant un caractère générique (*). Par exemple, vous pouvez spécifier toutes les actions avec un nom commençant par le mot « Décrire ».
"Action": "batch:Describe*"
Pour spécifier toutes les actions AWS Batch d'API, incluez un caractère générique (*).
"Action": "batch:*"
Pour obtenir la liste des AWS Batch actions, consultez la section Actions dans la référence de l'AWS BatchAPI.
Amazon Resource Names (ARN) pour AWS Batch
Chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leurs Amazon Resource Names (ARN).
La syntaxe générale d'un Amazon Resource Name (ARN) est la suivante :
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
- web
-
Le service (par exemple,
batch
). - region
-
Le Région AWS pour la ressource (par exemple,
us-east-2
). - account
-
ID Compte AWS du compte sans trait d'union (
123456789012
, par exemple). - resourceType
-
Le type de ressource (par exemple,
compute-environment
). - chemin de la ressource
-
Un chemin qui identifie la ressource. Vous pouvez utiliser un caractère générique (*) dans vos tracés.
AWS BatchLes opérations d'API prennent actuellement en charge les autorisations au niveau des ressources pour plusieurs opérations d'API. Pour plus d'informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations d'API Amazon AWS Batch. Pour spécifier toutes les ressources, ou si une action d'API spécifique ne prend pas en charge les ARN, incluez un caractère générique (*) dans l'Resource
élément.
"Resource": "*"
Vérification que les utilisateurs ont les autorisations requises
Avant de mettre une politique IAM en production, assurez-vous qu'elle accorde aux utilisateurs les autorisations nécessaires pour utiliser les actions et les ressources d'API spécifiques dont ils ont besoin.
Pour ce faire, créez d'abord un utilisateur à des fins de test et associez la politique IAM à l'utilisateur de test. Ensuite, créez une demande en tant qu’utilisateur test. Vous pouvez tester les demandes dans la console ou avec l'AWS CLI.
Note
Vous pouvez également tester vos politiques à l'aide du simulateur de politiques IAM
Si la stratégie n'accorde pas à l'utilisateur les autorisations que vous escomptiez, ou si elles sont trop excessives, vous pouvez ajuster la stratégie selon vos besoins. Testez-la à nouveau jusqu'à ce que vous obteniez les résultats souhaités.
Important
La propagation des modifications de la politique peut durer plusieurs minutes avant qu’elles ne prennent effet. Par conséquent, nous vous recommandons de laisser passer au moins cinq minutes avant de tester les mises à jour de vos politiques.
Si un contrôle d’autorisation échoue, la demande retourne un message codé avec les informations de diagnostic. Vous pouvez décoder le message à l’aide de l’action DecodeAuthorizationMessage
. Pour plus d'informations, reportez-vous DecodeAuthorizationMessageà la référence de l'AWS Security Token ServiceAPI et decode-authorization-messageà la référence des AWS CLI commandes.