Identity and Access Management pour AWS Global Accelerator - AWS Global Accelerator

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identity and Access Management pour AWS Global Accelerator

AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur de contrôler, en toute sécurité, l'accès aux ressources AWS, y compris aux ressources AWS Global Accelerator. Les administrateurs utilisent IAM pour contrôler qui estAuthentifié(connecté) etAuthorized(dispose d'autorisations) pour utiliser les ressources Global Accelerator. IAM est une fonction incluse gratuitement dans votre compte AWS.

Important

Si vous n'êtes pas familiarisé avec IAM, passez en revue les informations d'introduction fournies sur cette page, puis consultezMise en route d'IAM. Si vous le souhaitez, vous pouvez en savoir plus sur l'authentification et le contrôle d'accès en consultantEn quoi consiste l'authentification ?,Qu'est-ce que le contrôle d'accès ?, etEn quoi consistent les stratégies ?.

Rubriques

Concepts et modalités d'

AuthentificationPour vous connecter à AWS, vous devez utiliser l'un des éléments suivants : informations d'identification utilisateur racine (non recommandé), informations d'identification utilisateur IAM ou informations d'identification temporaires à l'aide de rôles IAM. Pour en savoir plus sur ces entités, consultez En quoi consiste l'authentification ?.

Contrôle d'accès— Les administrateurs AWS utilisent des stratégies pour contrôler l'accès aux ressources AWS, comme des accélérateurs dans Global Accelerator. Pour en savoir plus, consultez Qu'est-ce que le contrôle d'accès ? et En quoi consistent les stratégies ?.

Important

Toutes les ressources d'un compte appartiennent à ce compte, indépendamment de la personne qui a créé ces ressources. Vous devez recevoir une autorisation d'accès pour créer une ressource. Cependant, le simple fait que vous avez créé une ressource ne signifie pas que vous disposez automatiquement d'un accès complet à cette ressource. Un administrateur doit accorder explicitement des autorisations pour chaque action que vous souhaitez effectuer. Cet administrateur peut aussi révoquer vos autorisations à tout moment.

Pour vous aider à comprendre les notions de base du fonctionnement d'IAM, parcourez la terminologie suivante :

Ressources

Les services AWS, comme Global Accelerator et IAM, incluent généralement des objets appelés ressources. Dans la plupart des cas, vous pouvez créer, gérer et supprimer ces ressources à partir du service. Les ressources IAM incluent des utilisateurs, des groupes, des rôles et des stratégies :

Users

Un utilisateur IAM représente la personne ou l'application qui utilise ses informations d'identification pour interagir avec AWS. Un utilisateur possède un nom et un mot de passe, avec lesquels il se connecte à AWS Management Console et jusqu'à deux clés d'accès qui peuvent être utilisées avec l'interface de ligne de commande AWS ou l'API AWS.

Groupes

Un groupe IAM est un ensemble d'utilisateurs IAM. Les administrateurs peuvent utiliser les groupes pour spécifier des autorisations aux utilisateurs qui en sont membres. Cela permet à un administrateur de gérer plus facilement les autorisations de plusieurs utilisateurs.

Roles

Un rôle IAM n'est associé à aucune information d'identification à long terme (mot de passe ou clés d'accès). Un rôle peut être endossé par tout utilisateur qui en a besoin et dispose des autorisations requises. Un utilisateur IAM peut assumer un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique. Les utilisateurs fédérés peuvent endosser un rôle à l'aide d'un fournisseur d'identité externe qui est mappé au rôle. Certains services AWS peuvent supposer unRôle de servicepour accéder aux ressources AWS en votre nom.

Policies

Les stratégies sont des documents JSON qui définissent les autorisations pour l'objet auquel elles sont attachées. AWS prend en chargeStratégies basées sur l'identitéque vous attachez aux identités (utilisateurs, groupes ou rôles). Certains services AWS vous permettent de joindreStratégies basées sur les ressourcesAux ressources afin de contrôler les actions effectuées par un détenteur (personne ou application) sur cette ressource. Global Accelerator ne prend pas en charge les stratégies basées sur les ressource.

Identités

Identités sont des ressources IAM pour lesquelles vous pouvez définir des autorisations. Ces objets incluent les utilisateurs, les groupes et les rôles.

Entités

Les entités sont des ressources IAM que vous utilisez pour l'authentification. Ces objets incluent les utilisateurs et les rôles.

Mandataires

Dans AWS, un mandataire est une personne ou une application qui utilise une entité pour se connecter et adresser des demandes à AWS. En tant que détenteur, vous pouvez utiliser AWS Management Console, l'interface de ligne de commande AWS ou l'API AWS pour effectuer une opération (telle que la suppression d'un accélérateur). Cela crée une demande pour cette opération. Votre demande spécifie l'action, la ressource, le détenteur, le détenteur du compte et toutes les informations supplémentaires relatives à la demande. Toutes ces informations fournissent à AWScontextpour votre demande de. AWS recherche toutes les stratégies qui s'appliquent au contexte de votre demande. AWS autorise la demande uniquement si chaque partie de celle-ci est autorisée par les stratégies.

Pour afficher un schéma du processus d'authentification et de contrôle d'accès, consultezComprendre le fonctionnement d'IAMdans leGuide de l'utilisateur IAM. Pour obtenir des détails sur la façon dont AWS détermine si une demande est autorisée, consultezLogique d'évaluation des stratégiesdans leGuide de l'utilisateur IAM.

Autorisations requises pour l'accès à la console, la gestion de l'authentification et le contrôle d'accès

Pour utiliser Global Accelerator ou pour gérer l'autorisation et le contrôle d'accès pour vous-même ou pour d'autres, vous devez disposer des autorisations appropriées.

Autorisations requises pour créer un accélérateur Global Accelerator

Pour créer un accélérateur AWS Global Accelerator, les utilisateurs doivent être autorisés à créer des rôles liés au service qui sont associés à Global Accelerator.

Pour vous assurer que les utilisateurs disposent des autorisations appropriées pour créer des accélérateurs dans Global Accelerator, associez à l'utilisateur une stratégie telle que la suivante.

Note

Si vous créez une stratégie d'autorisations basée sur l'identité qui est plus restrictive, les utilisateurs dotés de cette stratégie ne pourront pas créer d'accélérateur.

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "globalaccelerator.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*" }

Autorisations requises pour utiliser la console Global Accelerator

Pour accéder à AWS Global Accelerator Console, vous devez disposer d'un ensemble minimal d'autorisations qui vous permet de répertorier et de consulter les informations détaillées relatives aux ressources Global Accelerator de votre compte AWS. Si vous créez une stratégie d'autorisation basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette stratégie.

Pour garantir que ces entités pourront continuer à utiliser la console Global Accelerator ou les actions API, attachez également l'une des stratégies gérées par AWS à l'utilisateur, comme expliqué dansCréation de stratégies dans l'onglet JSON :

GlobalAcceleratorReadOnlyAccess GlobalAcceleratorFullAccess

Joindre la première politique,GlobalAcceleratorReadOnlyAccess, si les utilisateurs n'ont besoin que d'afficher des informations dans la console ou d'effectuer des appels vers l'interface de ligne de commande AWS ou l'API qui utilisentList*ouDescribe*.

Joindre la deuxième politique,GlobalAcceleratorFullAccess, aux utilisateurs qui ont besoin de créer ou de mettre à jour des accélérateurs. La politique d'accès complet inclutFULLpour Global Accelerator ainsi quedescribepour Amazon EC2 et Elastic Load Balancing.

Note

Si vous créez une stratégie d'autorisations basée sur l'identité qui n'inclut pas les autorisations requises pour Amazon EC2 et Elastic Load Balancing, les utilisateurs avec cette stratégie ne pourront pas ajouter des ressources Amazon EC2 et Elastic Load Balancing aux accélérateurs.

Voici la politique d'accès complet :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }

Autorisations requises pour la gestion de l'authentification

Pour gérer vos propres informations d'identification, telles que votre mot de passe, vos clés d'accès et vos périphériques d'authentification multi-facteurs (MFA), votre administrateur doit vous accorder les autorisations requises. Pour consulter la stratégie sous-tendant ces autorisations, consultez Autorise les utilisateurs à gérer eux-mêmes leurs informations d'identification.

En tant qu'administrateur AWS, vous avez besoin d'un accès total à IAM afin que vous puissiez créer et gérer des utilisateurs, des groupes, des rôles et des stratégies. Vous devez utiliser les balisesAdministratorAccessStratégie gérée par AWS qui inclut un accès complet à l'ensemble d'AWS. Cette stratégie n'autorise pas l'accès à la console AWS Billing and Cost Management, ni les tâches nécessitant des informations d'identification utilisateur racine du compte AWS. Pour de plus amples informations, veuillez consulterTâches AWS nécessitant des informations d'identification d'utilisateur racine du compte AWSdans leRéférences générales AWS.

Avertissement

Seul un utilisateur administrateur doit avoir un accès complet à AWS. Toute personne disposant de cette stratégie est autorisée à gérer entièrement l'authentification et le contrôle d'accès, en plus de pouvoir modifier chaque ressource dans AWS. Pour savoir comment créer cet utilisateur, consultez Créez votre utilisateur administrateur IAM.

Autorisations requises pour le contrôle d'accès

Si votre administrateur vous a fourni des informations d'identification d'utilisateur IAM, il a attaché des stratégies votre utilisateur IAM pour contrôler les ressources auxquelles vous avez accès. Pour afficher les stratégies attachées à votre identité d'utilisateur dans AWS Management Console, vous devez disposer des autorisations suivantes :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Si vous avez besoin d'autorisations supplémentaires, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder aux actions nécessaires.

Comprendre comment Global Accelerator fonctionne avec IAM

Les services peuvent fonctionner avec IAM de différentes manières :

Actions

Global Accelerator prend en charge l'utilisation d'actions dans une stratégie. Cela permet à un administrateur de contrôler si une entité peut effectuer une opération dans Global Accelerator. Par exemple, pour permettre à une entité d'appeler leGetPolicyAWS afficher une stratégie, un administrateur doit attacher une stratégie qui autorise leiam:GetPolicyaction.

L'exemple de stratégie qui suit permet à un utilisateur d'effectuer leCreateAcceleratorpour créer par programme un accélérateur pour votre compte AWS :

{ "Version": "2018-08-08", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:CreateAccelerator" ], "Resource":"*" } ] }
Autorisations de niveau ressource

Global Accelerator prend en charge les autorisations au niveau des ressources. Les autorisations au niveau des ressources vous permettent d'utiliser les ARN pour spécifier des ressources spécifiques dans la stratégie.

Stratégies basées sur les ressources

Global Accelerator ne prend pas en charge les stratégies basées sur les ressource. Avec les stratégies basées sur les ressources, vous pouvez attacher une stratégie à une ressource du service. Les stratégies basées sur les ressources comprennent unPrincipalélément pour spécifier les identités IAM qui peuvent accéder à cette ressource.

Autorisation basée sur les balises

Global Accelerator prend en charge les balises basées sur l'autorisation. Cette fonction vous permet d'utiliser des balises de ressource dans la condition d'une stratégie.

Informations d'identification temporaires

Global Accelerator prend en charge l'identification temporaire. Avec les informations d'identification temporaires, vous pouvez vous connecter à l'aide de la fédération, endosser un rôle IAM ou endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS commeAssumeRoleouGetFederationToken.

Rôles liés à un service

Global Accelerator prend en charge les rôles liés à un service. Cette fonction permet à un service d'endosser un rôle lié à un service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

Rôles de service

Global Accelerator ne prend pas en charge les rôles de service. Cette fonctionnalité permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, cela peut perturber le bon fonctionnement du service.

Résolution des problèmes d'authentification et de contrôle d'accès

Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec IAM.

Je ne suis pas autorisé à exécuter une action dans Global Accelerator

Si AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter l'administrateur qui vous a fourni votre nom d'utilisateur et votre mot de passe.

L'exemple suivant se produit lorsqu'un utilisateur IAM nommémy-user-nametente d'utiliser la console pour effectuerglobalaccelerator:CreateAcceleratormais n'a pas d'autorisations :

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator

Dans ce cas, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder à l'my-example-acceleratorà l'aide de l'outilaws-globalaccelerator:CreateAcceleratoraction.

Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à Global Accelerator

Pour permettre à d'autres utilisateurs d'accéder à Global Accelerator, vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l'application nécessitant un accès. Ils utiliseront les informations d'identification de cette entité pour accéder à AWS. Vous devez ensuite associer une stratégie à l'entité qui leur accorde les autorisations appropriées dans Global Accelerator.

Pour démarrer immédiatement, consultez Mise en route d'IAM.

Je veux comprendre IAM sans devenir un expert

Pour en savoir plus sur les conditions, les concepts et les procédures IAM, consultez les rubriques suivantes :

Stratégies basées sur balises

Lorsque vous concevez des stratégies IAM, vous pouvez définir des autorisations granulaires en accordant l'accès à des ressources spécifiques. Au fur et à mesure que le nombre de ressources que vous gérez s'accroît, cette tâche devient plus difficile. Le balisage des accélérateurs et l'utilisation de balises dans les déclarations de stratégie peuvent rendre cette tâche plus facile. Vous accordez l'accès en bloc à tout accélérateur doté d'une balise spécifique. Puis, vous appliquez cette balise à plusieurs reprises aux accélérateurs correspondants, lorsque vous créez l'accélérateur ou en mettant à jour l'accélérateur ultérieurement.

Note

L'utilisation des balises dans les conditions est un moyen de contrôler l'accès aux ressources et demandes. Pour plus d'informations sur le balisage dans Global Accelerator, consultezBalisage dans AWS Global Accelerator.

Les balises peuvent être attachées à une ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Dans Global Accelerator, seuls les accélérateurs peuvent inclure des balises. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler :

  • quels utilisateurs peuvent effectuer des actions sur un accélérateur, en fonction des balises qu'il possède déjà ;

  • quelles balises peuvent être transmises dans une demande d'action ;

  • si des clés de balise spécifiques peuvent être utilisées dans une demande.

Pour connaître la syntaxe complète et la sémantique des clés de condition de balise, consultezContrôle des accès à l'aide de balises IAMdans leGuide de l'utilisateur IAM.

Par exemple, l'accélérateur globalGlobalAcceleratorFullAccessStratégie utilisateur gérée fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action globale Accelerator sur une ressource. La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation d'effectuer une action d'accélérateur mondial sur lesProductionAccélérateurs. L'administrateur d'un client peut attacher cette stratégie IAM aux utilisateurs IAM non autorisés et à la stratégie d'utilisateur gérée.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] }