Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Identity and Access Management pour AWS Global Accelerator
AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur de contrôler, en toute sécurité, l'accès aux ressources AWS, y compris aux ressources AWS Global Accelerator. Les administrateurs utilisent IAM pour contrôler qui estAuthentifié(connecté) etAuthorized(dispose d'autorisations) pour utiliser les ressources Global Accelerator. IAM est une fonction incluse gratuitement dans votre compte AWS.
Important
Si vous n'êtes pas familiarisé avec IAM, passez en revue les informations d'introduction fournies sur cette page, puis consultezMise en route d'IAM. Si vous le souhaitez, vous pouvez en savoir plus sur l'authentification et le contrôle d'accès en consultantEn quoi consiste l'authentification ?,Qu'est-ce que le contrôle d'accès ?, etEn quoi consistent les stratégies ?.
Rubriques
Concepts et modalités d'
AuthentificationPour vous connecter à AWS, vous devez utiliser l'un des éléments suivants : informations d'identification utilisateur racine (non recommandé), informations d'identification utilisateur IAM ou informations d'identification temporaires à l'aide de rôles IAM. Pour en savoir plus sur ces entités, consultez En quoi consiste l'authentification ?.
Contrôle d'accès— Les administrateurs AWS utilisent des stratégies pour contrôler l'accès aux ressources AWS, comme des accélérateurs dans Global Accelerator. Pour en savoir plus, consultez Qu'est-ce que le contrôle d'accès ? et En quoi consistent les stratégies ?.
Important
Toutes les ressources d'un compte appartiennent à ce compte, indépendamment de la personne qui a créé ces ressources. Vous devez recevoir une autorisation d'accès pour créer une ressource. Cependant, le simple fait que vous avez créé une ressource ne signifie pas que vous disposez automatiquement d'un accès complet à cette ressource. Un administrateur doit accorder explicitement des autorisations pour chaque action que vous souhaitez effectuer. Cet administrateur peut aussi révoquer vos autorisations à tout moment.
Pour vous aider à comprendre les notions de base du fonctionnement d'IAM, parcourez la terminologie suivante :
- Ressources
-
Les services AWS, comme Global Accelerator et IAM, incluent généralement des objets appelés ressources. Dans la plupart des cas, vous pouvez créer, gérer et supprimer ces ressources à partir du service. Les ressources IAM incluent des utilisateurs, des groupes, des rôles et des stratégies :
- Users
-
Un utilisateur IAM représente la personne ou l'application qui utilise ses informations d'identification pour interagir avec AWS. Un utilisateur possède un nom et un mot de passe, avec lesquels il se connecte à AWS Management Console et jusqu'à deux clés d'accès qui peuvent être utilisées avec l'interface de ligne de commande AWS ou l'API AWS.
- Groupes
-
Un groupe IAM est un ensemble d'utilisateurs IAM. Les administrateurs peuvent utiliser les groupes pour spécifier des autorisations aux utilisateurs qui en sont membres. Cela permet à un administrateur de gérer plus facilement les autorisations de plusieurs utilisateurs.
- Roles
-
Un rôle IAM n'est associé à aucune information d'identification à long terme (mot de passe ou clés d'accès). Un rôle peut être endossé par tout utilisateur qui en a besoin et dispose des autorisations requises. Un utilisateur IAM peut assumer un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique. Les utilisateurs fédérés peuvent endosser un rôle à l'aide d'un fournisseur d'identité externe qui est mappé au rôle. Certains services AWS peuvent supposer unRôle de servicepour accéder aux ressources AWS en votre nom.
- Policies
-
Les stratégies sont des documents JSON qui définissent les autorisations pour l'objet auquel elles sont attachées. AWS prend en chargeStratégies basées sur l'identitéque vous attachez aux identités (utilisateurs, groupes ou rôles). Certains services AWS vous permettent de joindreStratégies basées sur les ressourcesAux ressources afin de contrôler les actions effectuées par un détenteur (personne ou application) sur cette ressource. Global Accelerator ne prend pas en charge les stratégies basées sur les ressource.
- Identités
-
Identités sont des ressources IAM pour lesquelles vous pouvez définir des autorisations. Ces objets incluent les utilisateurs, les groupes et les rôles.
- Entités
-
Les entités sont des ressources IAM que vous utilisez pour l'authentification. Ces objets incluent les utilisateurs et les rôles.
- Mandataires
-
Dans AWS, un mandataire est une personne ou une application qui utilise une entité pour se connecter et adresser des demandes à AWS. En tant que détenteur, vous pouvez utiliser AWS Management Console, l'interface de ligne de commande AWS ou l'API AWS pour effectuer une opération (telle que la suppression d'un accélérateur). Cela crée une demande pour cette opération. Votre demande spécifie l'action, la ressource, le détenteur, le détenteur du compte et toutes les informations supplémentaires relatives à la demande. Toutes ces informations fournissent à AWScontextpour votre demande de. AWS recherche toutes les stratégies qui s'appliquent au contexte de votre demande. AWS autorise la demande uniquement si chaque partie de celle-ci est autorisée par les stratégies.
Pour afficher un schéma du processus d'authentification et de contrôle d'accès, consultezComprendre le fonctionnement d'IAMdans leGuide de l'utilisateur IAM. Pour obtenir des détails sur la façon dont AWS détermine si une demande est autorisée, consultezLogique d'évaluation des stratégiesdans leGuide de l'utilisateur IAM.
Autorisations requises pour l'accès à la console, la gestion de l'authentification et le contrôle d'accès
Pour utiliser Global Accelerator ou pour gérer l'autorisation et le contrôle d'accès pour vous-même ou pour d'autres, vous devez disposer des autorisations appropriées.
Autorisations requises pour créer un accélérateur Global Accelerator
Pour créer un accélérateur AWS Global Accelerator, les utilisateurs doivent être autorisés à créer des rôles liés au service qui sont associés à Global Accelerator.
Pour vous assurer que les utilisateurs disposent des autorisations appropriées pour créer des accélérateurs dans Global Accelerator, associez à l'utilisateur une stratégie telle que la suivante.
Note
Si vous créez une stratégie d'autorisations basée sur l'identité qui est plus restrictive, les utilisateurs dotés de cette stratégie ne pourront pas créer d'accélérateur.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "globalaccelerator.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*" }
Autorisations requises pour utiliser la console Global Accelerator
Pour accéder à AWS Global Accelerator Console, vous devez disposer d'un ensemble minimal d'autorisations qui vous permet de répertorier et de consulter les informations détaillées relatives aux ressources Global Accelerator de votre compte AWS. Si vous créez une stratégie d'autorisation basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette stratégie.
Pour garantir que ces entités pourront continuer à utiliser la console Global Accelerator ou les actions API, attachez également l'une des stratégies gérées par AWS à l'utilisateur, comme expliqué dansCréation de stratégies dans l'onglet JSON :
GlobalAcceleratorReadOnlyAccess GlobalAcceleratorFullAccess
Joindre la première politique,GlobalAcceleratorReadOnlyAccess
, si les utilisateurs n'ont besoin que d'afficher des informations dans la console ou d'effectuer des appels vers l'interface de ligne de commande AWS ou l'API qui utilisentList*
ouDescribe*
.
Joindre la deuxième politique,GlobalAcceleratorFullAccess
, aux utilisateurs qui ont besoin de créer ou de mettre à jour des accélérateurs. La politique d'accès complet inclutFULLpour Global Accelerator ainsi quedescribepour Amazon EC2 et Elastic Load Balancing.
Note
Si vous créez une stratégie d'autorisations basée sur l'identité qui n'inclut pas les autorisations requises pour Amazon EC2 et Elastic Load Balancing, les utilisateurs avec cette stratégie ne pourront pas ajouter des ressources Amazon EC2 et Elastic Load Balancing aux accélérateurs.
Voici la politique d'accès complet :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Autorisations requises pour la gestion de l'authentification
Pour gérer vos propres informations d'identification, telles que votre mot de passe, vos clés d'accès et vos périphériques d'authentification multi-facteurs (MFA), votre administrateur doit vous accorder les autorisations requises. Pour consulter la stratégie sous-tendant ces autorisations, consultez Autorise les utilisateurs à gérer eux-mêmes leurs informations d'identification.
En tant qu'administrateur AWS, vous avez besoin d'un accès total à IAM afin que vous puissiez créer et gérer des utilisateurs, des groupes, des rôles et des stratégies. Vous devez utiliser les balisesAdministratorAccess
Avertissement
Seul un utilisateur administrateur doit avoir un accès complet à AWS. Toute personne disposant de cette stratégie est autorisée à gérer entièrement l'authentification et le contrôle d'accès, en plus de pouvoir modifier chaque ressource dans AWS. Pour savoir comment créer cet utilisateur, consultez Créez votre utilisateur administrateur IAM.
Autorisations requises pour le contrôle d'accès
Si votre administrateur vous a fourni des informations d'identification d'utilisateur IAM, il a attaché des stratégies votre utilisateur IAM pour contrôler les ressources auxquelles vous avez accès. Pour afficher les stratégies attachées à votre identité d'utilisateur dans AWS Management Console, vous devez disposer des autorisations suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Si vous avez besoin d'autorisations supplémentaires, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder aux actions nécessaires.
Comprendre comment Global Accelerator fonctionne avec IAM
Les services peuvent fonctionner avec IAM de différentes manières :
- Actions
-
Global Accelerator prend en charge l'utilisation d'actions dans une stratégie. Cela permet à un administrateur de contrôler si une entité peut effectuer une opération dans Global Accelerator. Par exemple, pour permettre à une entité d'appeler le
GetPolicy
AWS afficher une stratégie, un administrateur doit attacher une stratégie qui autorise leiam:GetPolicy
action.L'exemple de stratégie qui suit permet à un utilisateur d'effectuer le
CreateAccelerator
pour créer par programme un accélérateur pour votre compte AWS :{ "Version": "2018-08-08", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:CreateAccelerator" ], "Resource":"*" } ] }
- Autorisations de niveau ressource
-
Global Accelerator prend en charge les autorisations au niveau des ressources. Les autorisations au niveau des ressources vous permettent d'utiliser les ARN pour spécifier des ressources spécifiques dans la stratégie.
- Stratégies basées sur les ressources
-
Global Accelerator ne prend pas en charge les stratégies basées sur les ressource. Avec les stratégies basées sur les ressources, vous pouvez attacher une stratégie à une ressource du service. Les stratégies basées sur les ressources comprennent un
Principal
élément pour spécifier les identités IAM qui peuvent accéder à cette ressource. - Autorisation basée sur les balises
-
Global Accelerator prend en charge les balises basées sur l'autorisation. Cette fonction vous permet d'utiliser des balises de ressource dans la condition d'une stratégie.
- Informations d'identification temporaires
-
Global Accelerator prend en charge l'identification temporaire. Avec les informations d'identification temporaires, vous pouvez vous connecter à l'aide de la fédération, endosser un rôle IAM ou endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme
AssumeRole
ouGetFederationToken
. - Rôles liés à un service
-
Global Accelerator prend en charge les rôles liés à un service. Cette fonction permet à un service d'endosser un rôle lié à un service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
- Rôles de service
-
Global Accelerator ne prend pas en charge les rôles de service. Cette fonctionnalité permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, cela peut perturber le bon fonctionnement du service.
Résolution des problèmes d'authentification et de contrôle d'accès
Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec IAM.
Rubriques
Je ne suis pas autorisé à exécuter une action dans Global Accelerator
Si AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter l'administrateur qui vous a fourni votre nom d'utilisateur et votre mot de passe.
L'exemple suivant se produit lorsqu'un utilisateur IAM nommémy-user-name
tente d'utiliser la console pour effectuerglobalaccelerator:CreateAccelerator
mais n'a pas d'autorisations :
User: arn:aws:iam::
123456789012
:user/my-user-name
is not authorized to perform:aws-globalaccelerator:CreateAccelerator
on resource:my-example-accelerator
Dans ce cas, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder à l'my-example-accelerator
à l'aide de l'outilaws-globalaccelerator:CreateAccelerator
action.
Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à Global Accelerator
Pour permettre à d'autres utilisateurs d'accéder à Global Accelerator, vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l'application nécessitant un accès. Ils utiliseront les informations d'identification de cette entité pour accéder à AWS. Vous devez ensuite associer une stratégie à l'entité qui leur accorde les autorisations appropriées dans Global Accelerator.
Pour démarrer immédiatement, consultez Mise en route d'IAM.
Je veux comprendre IAM sans devenir un expert
Pour en savoir plus sur les conditions, les concepts et les procédures IAM, consultez les rubriques suivantes :
Stratégies basées sur balises
Lorsque vous concevez des stratégies IAM, vous pouvez définir des autorisations granulaires en accordant l'accès à des ressources spécifiques. Au fur et à mesure que le nombre de ressources que vous gérez s'accroît, cette tâche devient plus difficile. Le balisage des accélérateurs et l'utilisation de balises dans les déclarations de stratégie peuvent rendre cette tâche plus facile. Vous accordez l'accès en bloc à tout accélérateur doté d'une balise spécifique. Puis, vous appliquez cette balise à plusieurs reprises aux accélérateurs correspondants, lorsque vous créez l'accélérateur ou en mettant à jour l'accélérateur ultérieurement.
Note
L'utilisation des balises dans les conditions est un moyen de contrôler l'accès aux ressources et demandes. Pour plus d'informations sur le balisage dans Global Accelerator, consultezBalisage dans AWS Global Accelerator.
Les balises peuvent être attachées à une ressource ou transmises dans la demande aux services qui prennent en charge le balisage. Dans Global Accelerator, seuls les accélérateurs peuvent inclure des balises. Lorsque vous créez une stratégie IAM, vous pouvez utiliser des clés de condition de balise pour contrôler :
quels utilisateurs peuvent effectuer des actions sur un accélérateur, en fonction des balises qu'il possède déjà ;
quelles balises peuvent être transmises dans une demande d'action ;
si des clés de balise spécifiques peuvent être utilisées dans une demande.
Pour connaître la syntaxe complète et la sémantique des clés de condition de balise, consultezContrôle des accès à l'aide de balises IAMdans leGuide de l'utilisateur IAM.
Par exemple, l'accélérateur globalGlobalAcceleratorFullAccess
Stratégie utilisateur gérée fournit aux utilisateurs les autorisations complètes nécessaires pour effectuer une action globale Accelerator sur une ressource. La stratégie suivante refuse aux utilisateurs non autorisés l'autorisation d'effectuer une action d'accélérateur mondial sur lesProductionAccélérateurs. L'administrateur d'un client peut attacher cette stratégie IAM aux utilisateurs IAM non autorisés et à la stratégie d'utilisateur gérée.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] }