Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower

Chaque ressource AWS appartient à un compte AWS et les autorisations permettant de créer des ressources et d'y accéder sont régies par les stratégies d'autorisation. Un administrateur de compte peut attacher des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Ressources et opérations AWS Control Tower

Dans AWS Control Tower, la ressource principale estlanding zone. AWS Control Tower prend également en charge un type de ressource supplémentaire,Barrères de protection. Toutefois, pour AWS Control Tower, vous ne pouvez gérer les garde-corps que dans le contexte d'une landing zone existante. Les barrières de sécurité sont qualifiées de sous-ressource.

Présentation de la propriété des ressources

Le compte AWS possède les ressources qui sont créés dans le compte, indépendamment de la personne qui a créé les ressources. Plus spécifiquement, le propriétaire des ressources est le compte AWS de l'entité principale (à savoir, l'utilisateur racine du compte AWS, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création des ressources. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification d'utilisateur racine de compte AWS pour configurer une landing zone, votre compte AWS est le propriétaire de la ressource.

  • Si vous créez un utilisateur IAM dans votre compte AWS et que vous accordez des autorisations pour configurer une landing zone pour cet utilisateur, celui-ci peut configurer une landing zone pour autant que son compte réponde aux conditions préalables. Toutefois, votre compte AWS, auquel l'utilisateur appartient, détient la ressource des landing zone.

  • Si vous créez un rôle IAM dans votre compte AWS et que vous lui accordez des autorisations pour configurer une landing zone, toute personne capable d'assumer le rôle peut configurer une landing zone. Votre compte AWS, auquel le rôle appartient, détient la ressource des landing zone.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'AWS Control Tower. Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, veuillez consulterRéférence de politique AWS IAMdans leIAM User Guide.

Les politiques attachées à une identité IAM sont appeléesbasé sur l'identitépolitiques (politiques IAM). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Note

AWS Control Tower prend en charge uniquement les politiques basées sur l'identité (politiques IAM).

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une politique d'autorisations à un utilisateur ou à un groupe de votre compte— Pour accorder à un utilisateur les autorisations nécessaires pour créer une ressource AWS Control Tower, comme configurer une landing zone, vous pouvez lier une stratégie d'autorisations à un utilisateur ou à un groupe auquel l'utilisateur appartient.

  • Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur dans le Compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte AWS (par exemple, le Compte B) ou à un service AWS comme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.

    3. L'administrateur du Compte B peut alors déléguer des autorisations pour assumer le rôle à tous les utilisateurs figurant dans le Compte B. Cela autorise les utilisateurs du Compte B à créer des ressources ou à y accéder dans le Compte A. Le mandataire dans la stratégie d'approbation peut également être un mandataire de service AWS si vous souhaitez accorder à un service AWS des autorisations pour assumer ce rôle.

    Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur la manière de vous protéger contre les attaquants lorsque vous accordez des autorisations à d'autres responsables des services AWS, consultezConditions facultatives pour votre rôle et vos relations de confiance. En ajoutant certaines conditions à vos politiques, vous pouvez contribuer à prévenir un type d'attaque spécifique, connu sous le nom deDéputé confusattaque, qui se produit lorsqu'une entité contraint une entité plus privilégiée à effectuer une action, par exemple en usurpant l'identité entre services. Pour obtenir des informations générales sur les conditions des politiques, veuillez également consulterSpécification de conditions dans une politique.

Note

Lorsque vous configurez une landing zone pour la AWS Control Tower, vous aurez besoin d'un utilisateur ou d'un rôle auprès deAdministratorAccessStratégie gérée. (arnam : awSOrganiam : awSOrganiziamAdministratorAccess)

Pour plus d'informations sur l'utilisation des politiques basées sur l'identité avec AWS Control Tower, consultezUtilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower. Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Politiques basées sur une ressource

D'autres services, tels qu'Amazon S3, prennent également en charge les politiques d'autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. AWS Control Tower ne prend pas en charge les politiques basées sur une ressource.

Spécification des éléments de politique : Actions, effets et mandataires

À l'heure actuelle, AWS Control Tower ne possède pas d'API. Vous pouvez configurer et gérer votre landing zone via la console AWS Control Tower. Pour configurer votre landing zone, vous devez être un utilisateur IAM avec des autorisations administratives telles que définies dans une politique IAM.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d'informations, consultez Ressources et opérations AWS Control Tower.

  • Action : vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Pour plus d'informations sur les types d'actions pouvant être effectuées, voirActions définies par AWS Control Tower.

  • Effet : vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique, qui peut être une autorisation ou un refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde l'accès.

  • Principal – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). AWS Control Tower ne prend pas en charge les politiques basées sur une ressource.

Pour en savoir plus sur la syntaxe des politiques IAM et pour obtenir des descriptions, consultezRéférence de politique AWS IAMdans leIAM User Guide.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Control Tower. Il existe toutefois des clés de condition à l'échelle d'AWS que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des clés à l'échelle d'AWS, veuillez consulter Clés disponibles pour les conditions dans le Guide de l'utilisateur IAM.