Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower

Chaque AWS ressource appartient à unCompte AWS, et les autorisations permettant de créer une ressource ou d'y accéder sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). Certains services (comme AWS Lambda) prennent également en charge l'attachement de stratégies d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous êtes chargé d'accorder des autorisations à un utilisateur ou à un rôle, vous devez connaître et suivre les utilisateurs et les rôles qui nécessitent des autorisations, les ressources pour lesquelles chaque utilisateur et chaque rôle nécessitent des autorisations, ainsi que les actions spécifiques qui doivent être autorisées pour exploiter ces ressources.

Ressources et opérations d'AWS Control Tower

Dans AWS Control Tower, la ressource principale est une zone d'atterrissage. AWS Control Tower prend également en charge un type de ressource supplémentaire, les contrôles, parfois appelés barrières de sécurité. Toutefois, pour AWS Control Tower, vous ne pouvez gérer les contrôles que dans le contexte d'une zone de landing zone existante. Les contrôles peuvent être considérés comme des sous-ressources.

Les ressources et sous-ressources de AWS sont associées à des noms de ressources Amazon (ARN) uniques, comme illustré dans l'exemple suivant.

Type de ressource Format ARN
Système de fichiers arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

À propos de la propriété des ressources

Le compte AWS possède les ressources qui sont créées dans le compte, indépendamment de la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur IAM Identity Center, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les AWS informations d'identification de l'utilisateur root de votre AWS compte pour configurer une zone d'atterrissage, votre AWS compte est le propriétaire de la ressource.

  • Si vous créez un utilisateur IAM dans votre AWS compte et que vous accordez l'autorisation de configurer une zone d'atterrissage à cet utilisateur, celui-ci peut configurer une zone d'atterrissage à condition que son compte réponde aux conditions requises. Cependant, votre AWS compte, auquel appartient l'utilisateur, possède la ressource de la zone d'atterrissage.

  • Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour configurer une zone d'atterrissage, toute personne habilitée à assumer ce rôle peut configurer une zone d'atterrissage. Votre AWS compte, auquel appartient le rôle, possède la ressource de la zone d'atterrissage.

Spécification des éléments de politique : actions, effets et principes

À l'heure actuelle, AWS Control Tower ne dispose pas d'API pour configurer une zone d'atterrissage, mais uniquement pour gérer les contrôles. Vous pouvez configurer et gérer votre zone d'atterrissage via la console AWS Control Tower. Pour configurer votre zone de landing zone, vous devez être un utilisateur IAM doté des autorisations administratives définies dans une politique IAM.

Les éléments suivants sont les plus élémentaires que vous pouvez identifier dans une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations d'AWS Control Tower.

  • Action : vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Pour plus d'informations sur les types d'actions pouvant être effectuées, consultez la section Actions définies par AWS Control Tower.

  • Effet : vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique, qui peut être une autorisation ou un refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde l'accès.

  • Principal — Dans les politiques basées sur l'identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). AWS Control Tower ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAM AWS dans le Guide de l'utilisateur IAM.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous pouvez utiliser des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à AWS Control Tower. Il existe, toutefois, des clés de condition à l'échelle d'AWS que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des clés à l'échelle d’AWS, consultez Clés disponibles pour les conditions dans le Guide de l'utilisateur IAM.