Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower - AWS Control Tower
Ressources et opérations d'AWS Control TowerÀ propos de la propriété des ressourcesSpécifiez les éléments de politique : actions, effets et principesSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower

Chaque AWS ressource appartient à un Compte AWS, et les autorisations permettant de créer une ressource ou d'y accéder sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). Certains services (tels que AWS Lambda) permettent également d'associer des politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous êtes chargé d'accorder des autorisations à un utilisateur ou à un rôle, vous devez connaître et suivre les utilisateurs et les rôles qui nécessitent des autorisations, les ressources pour lesquelles chaque utilisateur et chaque rôle ont besoin d'autorisations, ainsi que les actions spécifiques qui doivent être autorisées pour exploiter ces ressources.

Rubriques

Ressources et opérations d'AWS Control Tower

Dans AWS Control Tower, la ressource principale est une zone d'atterrissage. AWS Control Tower prend également en charge un type de ressource supplémentaire, les contrôles, parfois appelés barrières de sécurité. Toutefois, pour AWS Control Tower, vous ne pouvez gérer les contrôles que dans le contexte d'une zone de landing zone existante. Les contrôles peuvent être considérés comme des sous-ressources.

Les ressources et sous-ressources de AWS sont associées à des noms de ressources Amazon (ARN) uniques, comme indiqué dans l'exemple suivant.

Type de ressource Format ARN
Système de fichiers arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower fournit un ensemble d'opérations d'API destinées à fonctionner avec les ressources d'AWS Control Tower. Pour obtenir la liste des opérations disponibles, consultez AWS Control Tower the AWS Control Tower API Reference.

Pour plus d'informations sur les AWS CloudFormation ressources d'AWS Control Tower, consultez le guide de AWS CloudFormation l'utilisateur.

À propos de la propriété des ressources

Le AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur IAM Identity Center, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les AWS informations d'identification de l'utilisateur root de votre AWS compte pour configurer une zone d'atterrissage, votre AWS compte est le propriétaire de la ressource.

  • Si vous créez un utilisateur IAM dans votre AWS compte et que vous accordez à cet utilisateur l'autorisation de configurer une zone d'atterrissage, celui-ci peut configurer une zone d'atterrissage à condition que son compte réponde aux conditions requises. Cependant, votre AWS compte, auquel appartient l'utilisateur, possède la ressource de la zone d'atterrissage.

  • Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour configurer une zone d'atterrissage, toute personne habilitée à assumer ce rôle peut configurer une zone d'atterrissage. Votre AWS compte, auquel appartient le rôle, possède la ressource de la zone d'atterrissage.

Spécifiez les éléments de politique : actions, effets et principes

Vous pouvez configurer et gérer votre zone d'atterrissage via la console AWS Control Tower ou les API de zone d'atterrissage. Pour configurer votre zone de landing zone, vous devez être un utilisateur IAM doté des autorisations administratives définies dans une politique IAM.

Les éléments suivants sont les plus élémentaires que vous pouvez identifier dans une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s’applique. Pour de plus amples informations, veuillez consulter Ressources et opérations d'AWS Control Tower.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Pour plus d'informations sur les types d'actions pouvant être effectuées, consultez la section Actions définies par AWS Control Tower.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal — Dans les politiques basées sur l'identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). AWS Control Tower ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAMAWS dans le Guide de l'utilisateur IAM.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous pouvez utiliser des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à AWS Control Tower. Cependant, il existe des AWSclés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de l'utilisateur IAM.