Présentation de la gestion des autorisations d'accès pour DataSync - AWS DataSync

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès pour DataSync

Chaque ressource AWS appartient à un Compte AWS et les autorisations de créer des ressources et d'y accéder sont régies par des politiques d'autorisation. Un administrateur de compte peut attacher des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Les meilleures pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Ressources et opérations DataSync

Dans DataSync, les ressources principales sont la tâche, l'emplacement, l'agent et l'exécution de la tâche.

Ces ressources ont des noms ARN (Amazon Resource Name) uniques qui leur sont associés, comme cela est illustré dans le tableau suivant.

Type de ressource Format ARN
ARN de tâche

arn:aws:datasync:region:account-id:task/task-id

ARN de l'emplacement

arn:aws:datasync:region:account-id:location/location-id

ARN de l'agent

arn:aws:datasync:region:account-id:agent/agent-id

ARN d'exécution de tâche

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

Pour accorder des autorisations pour des opérations d'API spécifiques, par exemple la création d'une tâche, DataSync définit un ensemble d'actions que vous spécifiez dans une stratégie d'autorisation. Une opération d'API peut exiger des autorisations pour plusieurs actions. Pour obtenir la liste de tous les éléments DataSync Les actions d'API et les ressources auxquelles elles s'appliquent, consultezAutorisations d'API DataSync : Actions et ressources.

Présentation de la propriété des ressources

UNpropriétaire de ressourceest leCompte AWSqui a créé la ressource. En d'autres termes, le propriétaire de la ressource est leCompte AWSduentité principale(le compte racine, un utilisateur IAM ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent la fonctionnement de ce comportement :

  • Si vous utilisez les informations d'identification du compte racine de votre compteCompte AWSPour créer une tâche, votreCompte AWSest le propriétaire de la ressource (dans DataSync, la ressource est la tâche).

  • Si vous créez un utilisateur IAM dans votreCompte AWSet accordez des autorisations auCreateTaskPour cet utilisateur, l'utilisateur peut créer une tâche. Cependant, vosCompte AWS, auquel l'utilisateur appartient, détient la ressource de tâche.

  • Si vous créez un rôle IAM dans votreCompte AWSAvec des autorisations permettant la création d'une tâche, toute personne capable d'exercer le rôle peut créer une tâche. VotreCompte AWS, auquel le rôle appartient, détient la ressource de tâche.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte de DataSync. Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe des stratégies IAM et obtenir des descriptions, consultezAWS Identity and Access Managementréférence de stratégiedans leIAM User Guide.

Les stratégies attachées à une identité IAM sont appeléesbasé sur l'identitéLes stratégies (stratégies IAM) et les stratégies attachées à une ressource sont appeléesbasé sur les ressourcespolitiques. DataSync prend en charge uniquement les stratégies basées sur l'identité (stratégies IAM).

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une stratégie d'autorisation à un utilisateur ou à un groupe de votre compte— Un compte administrateur peut utiliser une stratégie d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à créer un DataSync ressource, telle qu'une tâche, un emplacement, un agent ou une exécution de tâche.

  • Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) – Vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur du Compte A peut créer un rôle pour accorder des autorisations inter-comptes à un autre utilisateur.Compte AWS(par exemple, le compte B) ou unService AWScomme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une stratégie d'autorisations à ce rôle qui accorde des autorisations aux ressources du Compte A.

    2. L'administrateur du compte A attache une stratégie d'approbation au rôle qui identifie le compte B comme mandataire pouvant assumer ce rôle.

      Pour octroyer unService AWSautorisations pour assumer le rôle, l'administrateur Compte A peut spécifier unService AWScomme principal de la politique de confiance.

    3. L'administrateur du compte B peut alors déléguer des autorisations pour assumer ce rôle auprès de tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A.

    Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, consultez la rubrique Gestion des accès dans le Guide de l'utilisateur IAM.

L'exemple de stratégie suivant accorde des autorisations à tous lesList*sur toutes les ressources. Cette action est une action en lecture seule. Par conséquent, la stratégie ne permet pas à l'utilisateur de modifier l'état des ressources.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllListActionsOnAllResources", "Effect": "Allow", "Action": [ "datasync:List*" ], "Resource": "*" } ] }

Pour plus d'informations sur l'utilisation des stratégies basées sur une identité avec DataSync, consultezUtilisation des stratégies basées sur l'identité (politiques IAM) pour DataSync. Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la rubrique Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Stratégies basées sur les ressources

D'autres services, tels qu'Amazon S3, prennent en charge les stratégies d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. Cependant, DataSync ne prend pas en charge les stratégies basées sur une ressource.

Spécifier des éléments de stratégie : Actions, effets, ressources et mandataires

Pour chaque DataSync ressource (voirAutorisations d'API DataSync : Actions et ressources), le service définit un ensemble d'opérations d'API (voirActions). Pour accorder des autorisations pour ces opérations API, DataSync définit un ensemble d'actions que vous spécifiez dans une stratégie. Par exemple, pour le DataSync , les actions suivantes sont définies :CreateTask,DeleteTask, etDescribeTask. Une opération d'API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource – dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour les ressources DataSync, vous pouvez utiliser le caractère générique(*)dans les politiques IAM. Pour plus d'informations, consultez Ressources et opérations DataSync.

  • Action : vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de la valeur spécifiéeEffectélément, l'élémentdatasync:CreateTaskaccorde ou refuse à l'utilisateur les autorisations pour effectuer l'opération DataSync CreateTask.

  • Effet— Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique, qui peut être l'un ou l'autre.AllowouDeny. Si vous n'accordez pas explicitement l'accès à (Allow) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différenteaccorde à cet utilisateur l'accès. Pour de plus amples informations, veuillez consulterAutorisationdans leIAM User Guide.

  • Principal – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). DataSync ne prend pas en charge les stratégies basées sur une ressource.

Pour plus d'informations sur la syntaxe des stratégies IAM et obtenir des descriptions, consultezAWS Identity and Access Managementréférence de stratégiedans leIAM User Guide.

Pour un tableau montrant tous les éléments DataSync Actions de l'API, voirAutorisations d'API DataSync : Actions et ressources.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifier les conditions définissant à quel moment une stratégie doit prendre effet lors de l'octroi des autorisations. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans le langage de stratégie, consultezConditiondans leIAM User Guide.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à DataSync. Cependant, il existe des élémentsAWSDes clés de condition larges que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des élémentsAWStouches larges, voirClés disponiblesdans leIAM User Guide.

Contrôle de l'accès

Dans cette section, vous trouverez des informations sur la façon de contrôler l'accès àAWS ressources.

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur racine de Compte AWS : lorsque vous créez dans un premier temps un Compte AWS, vous commencez avec une identité de connexion unique qui bénéficie d'un accès complet à tous les Services AWS et toutes les ressources du compte. Cette identité est appelée Compte AWS utilisateur racine Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

  • Utilisateur IAM— UnUtilisateur IAMest une identité au sein de votreCompte AWSqui dispose d'autorisations personnalisées spécifiques (par exemple, l'autorisation de créer une tâche dans DataSync). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pages web AWS sécurisées telles que la AWS Management Console, les forums de discussion AWS ou le centre AWS Support.

    En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez à Services AWS par programmation, soit par le biais d'un des kits SDK soit à l'aide du AWS Command Line Interface (CLI). Les outils SDK et CLI utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pasAWSoutils, vous devez signer la demande vous-même. DataSync appuisSignature Version 4, protocole permettant l'authentification des demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans les Références générales AWS.

  • Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

    • Accès par des utilisateurs fédérés-Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant de AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

    • Accès Service AWS : une fonction de service est un rôle IAM qu'un service endosse pour effectuer des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d'IAM. Pour de plus amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un Service AWS dans le Guide de l'utilisateur IAM.

    • Applications s'exécutant sur Amazon EC2 - vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant des requêtes d'API AWS CLI ou AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l'utilisateur IAM.

Autorisations

Vous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moins d'avoir les autorisations requises, vous ne pouvez pas créer ni accéder à de telles demandes. DataSync AWS. Par exemple, vous devez disposer des autorisations pour créer une tâche dans DataSync.

Les sections suivantes fournissent une vue d'ensemble et décrivent comment gérer les autorisations pour DataSync.