Gérez l'accès aux ressources - AWS Control Tower
À propos des politiques basées sur l'identité (politiques IAM)Politiques basées sur les ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'AWS Control Tower. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie AWS IAM dans le Guide de l'utilisateur IAM.

Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Note

AWS Control Tower prend uniquement en charge les politiques basées sur l'identité (politiques IAM).

Rubriques

À propos des politiques basées sur l'identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associer une politique d'autorisations à un utilisateur ou à un groupe de votre compte : pour accorder à un utilisateur l'autorisation de créer une ressource AWS Control Tower, par exemple pour configurer une zone de landing zone, vous pouvez associer une politique d'autorisations à un utilisateur ou à un groupe auquel appartient l'utilisateur.

  • Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur d'un AWS compte (compte A) peut créer un rôle qui accorde des autorisations entre comptes à un autre AWS compte (compte B), ou l'administrateur peut créer un rôle qui accorde des autorisations à un autre AWS service.

    1. L'administrateur du compte A crée un rôle IAM et associe une politique d'autorisation au rôle qui accorde des autorisations pour gérer les ressources du compte A.

    2. L'administrateur du compte A attache une politique de confiance au rôle. La politique indique que le compte B est le principal habilité à assumer ce rôle.

    3. En tant que principal, l'administrateur du compte B peut autoriser n'importe quel utilisateur du compte B à assumer ce rôle. En assumant le rôle, les utilisateurs du compte B peuvent créer ou accéder aux ressources du compte A.

    4. Pour accorder à un AWS service la capacité (autorisations) d'assumer le rôle, le principal que vous spécifiez dans la politique de confiance peut être un AWS service.

Politiques basées sur les ressources

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. AWS Control Tower ne prend pas en charge les politiques basées sur les ressources.