Exemples de politiques AWS Ground Station basées sur l'identité - AWS Ground Station

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques AWS Ground Station basées sur l'identité

Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou modifier les ressources AWS Ground Station. Ils ne peuvent pas non plus exécuter de tâches à l'aide de la console, de l'interface de ligne de commande ou de l'API AWS Ground Station. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.

Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter Création de stratégies dans l'onglet JSON dans le Guide de l'utilisateur IAM.

L'exemple de stratégie suivant accorde à AWS Ground Station l'accès général à la console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "groundstation:*" ], "Resource": [ "*" ] } ] }

L'exemple de stratégie suivant accorde à AWS Ground Station l'accès en lecture seule :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "groundstation:Get*", "groundstation:List*", "groundstation:Describe*" ], "Resource": [ "*" ] } ] }

Pour plus d'informations sur l’écriture de stratégies IAM, consultez Stratégies IAM dans le Guide de l'utilisateur IAM.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité sont très puissantes. Elles déterminent si une personne peut créer, consulter ou supprimer des ressources AWS Ground Station dans votre compte. Lorsque vous créez ou modifiez des politiques basées sur l'identité, suivez ces instructions et recommandations :

  • Commencer à utiliser des politiques gérées AWS : pour commencer à utiliser AWS Ground Station rapidement, utilisez des politiques gérées par AWS pour accorder à vos employés les autorisations dont ils ont besoin. Ces politiques sont déjà disponibles dans votre compte et sont gérées et mises à jour par AWS. Pour de plus amples informations, veuillez consulterMise en route avec les autorisations à l'aideAWSStratégies gérées pardans leIAM User Guide.

  • Accorder le privilège le plus faible : Lorsque vous créez des politiques personnalisées, accordez uniquement les autorisations requises pour exécuter une seule tâche. Commencez avec un minimum d'autorisations et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard. Pour plus d'informations, consultez Accorder le privilège le plus faible dans le Guide de l'utilisateur IAM.

  • Activer MFA pour les opérations sensibles – Pour plus de sécurité, obligez les utilisateurs IAM à utiliser l'authentification multi-facteurs (MFA) pour accéder à des ressources ou à des opérations d'API sensibles. Pour de plus amples informations, veuillez consulter Utilisation de l’Authentification multi-facteur (MFA) dans AWS dans le guide de l’utilisateur IAM.

  • Utiliser des conditions de politique pour une plus grande sécurité : tant que cela reste pratique pour vous, définissez les conditions dans lesquelles vos politiques basées sur l'identité autorisent l'accès à une ressource. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d'adresses IP autorisées d'où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriser les requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l'utilisation de SSL ou de MFA. Pour de plus amples informations, veuillez consulterÉléments de stratégie JSON IAM : Conditiondans leIAM User Guide.

Utilisation de la console AWS Ground Station

Pour accéder à la console AWS Ground Station, vous devez disposer d'un ensemble minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources AWS Ground Station de votre compte AWS. Si vous créez une stratégie d'autorisation basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette stratégie.

Pour garantir que ces entités pourront continuer à utiliser la console AWS Ground Station, attachez également la stratégie gérée AWS suivante à l'utilisateur. Pour plus d'informations, consultez Ajout d'autorisations à un utilisateur dans le Guide de l’utilisateur IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "groundstation:Get*", "groundstation:List*", "groundstation:Describe*" ], "Resource": [ "*" ] } ] }

Vous n'avez pas besoin d'accorder les autorisations minimales de console pour les utilisateurs qui effectuent des appels uniquement à l'interface AWS CLI ou API AWS. Au lieu de cela, vous avez uniquement besoin des autorisations qui correspondent à l'opération d'API que vous essayez d'exécuter.

Autoriser les utilisateurs à afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d'afficher les politiques en ligne et gérées attachées à leur identité d'utilisateur. Cette politique inclut les autorisations nécessaires pour réaliser cette action sur la console ou par programmation à l'aide de la AWS CLI ou de l'API AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Affichage d'unAWS Ground Station ConfigIdsBasé sur les balises

Vous pouvez utiliser des conditions dans votre politique basée sur l'identité pour contrôler l'accès aux ressources AWS Ground Station en fonction des balises. Cet exemple montre comment créer une stratégie qui permet d’afficher un élément Config. Toutefois, l'autorisation est accordée uniquement si la balise Owner configId a la valeur du nom d'utilisateur de cet utilisateur. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.

{ "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "groundstation:GetConfig" ], "Resource": "*", "Condition": { "StringEquals": { "groundstation:ResourceTag/Owner": "${aws:username}" } } }

Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Si un utilisateur nommé richard-roe tente d'afficher un configId AWS Ground Station, les éléments configId doivent être balisés avec Owner=richard-roe ou owner=richard-roe. Dans le cas contraire, l'utilisateur se voit refuser l'accès. La clé de condition de balise Owner correspond à la fois à Owner et à owner, car les noms de clé de condition ne sont pas sensibles à la casse. Pour de plus amples informations, veuillez consulterÉléments de stratégie JSON IAM : Conditiondans leIAM User Guide.