Comment AWS Ground Station fonctionne avec IAM - AWS Ground Station

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS Ground Station fonctionne avec IAM

Avant d'utiliser IAM pour contrôler l'accès àAWS Ground Station, vous devez comprendre quelles sont les fonctionnalités IAM disponibles à utiliser avecAWS Ground Station. Pour obtenir une vue globale sur la façon dontAWS Ground Stationet autresAWSServices fonctionnent avec IAM, consultezAWSServices qui fonctionnent avec IAMdans leIAM User Guide.

Stratégies AWS Ground Station basées sur l'identité

Avec les stratégies IAM basées sur l'identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées.AWS Ground Stationprend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une stratégie JSON, veuillez consulter Références des éléments de stratégie JSON IAM dans le Guide de l’utilisateur IAM.

Actions AWS Ground Station

L'élément Action d'une stratégie basée sur une identité IAM décrit les actions spécifiques qui seront autorisées ou refusées par la stratégie. Actions de stratégie dansAWS Ground StationUtilisez le préfixe suivant avant l'action : groundstation. Par exemple:groundstation:Get*,groundstation:List*,groundstation:Describe*(pour tousAWS Ground StationActions). Pour obtenir la liste des actions, consultez la section Actions définies par AWS Ground Station.

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l'action suivante :

"Action": "groundstation:Describe*"

Le tableau suivant décrit les actions courantes pour l'accès à la console :

Action Description

CancelContact

Accorde l'autorisation d'annuler un contact.

DescribeContact

Accorde l'autorisation de décrire un contact.

ListContacts

Accorde l'autorisation de renvoyer une liste des contacts.

ReserveContact

Accorde l'autorisation de réserver un contact.

Pour afficher une liste desAWS Ground Station, consultez leAWS Ground StationAPI Reference.

Resources

L'élément Resource spécifie les objets auxquels l'action s'applique. Les instructions doivent inclure un élément Resource ou NotResource. Vous pouvez spécifier une ressource à l'aide d'un ARN ou du caractère générique (*) pour indiquer que l'instruction s'applique à toutes les ressources. Pour de plus amples informations sur le format des ARN, veuillez consulter Amazon Resource Names (ARN) et Espaces de noms du service AWS.

Le format d'ARN de la ressource Config AWS Ground Station est le suivant :

arn:${Partition}:groundstation:${Region}:${AccountID}:config/${configType}/${configId}

Pour spécifier l'exemple 11111111-2222-3333-4444-555555555555 Config dans votre déclaration, vous devez utiliser l'ARN suivant :

"Resource": "arn:aws:groundstation:us-east-2:123456789012:config/antenna-downlink-demod-decode/11111111-2222-3333-4444-555555555555"

Pour spécifier tous les objets Config qui appartiennent à un compte spécifique, utilisez le caractère générique (*) au format suivant :

"Resource": "arn:aws:groundstation:us-east-2:123456789012:config/*"

Certaines actions AWS Ground Station, telles que la création de ressources, ne peuvent pas être exécutées sur une ressource précise. Dans ces cas, vous devez utiliser le caractère générique (*) dans le format suivant :

"Resource": "*"

De nombreuses actions d'API AWS Ground Station nécessitent plusieurs ressources. Par exemple,CreateConfigpeut créer unAWS Ground Station ConfigSur plusieurs satellites. Par conséquent, un utilisateur IAM doit être autorisé à utiliser le moduleConfiget le contact. Pour spécifier plusieurs ressources dans une seule déclaration, séparez leurs ARN par des virgules au format suivant :

"Resource": [ "arn:aws:groundstation:us-west-2:123456789012:config/satellite/11111111-2222-3333-4444-555555555555", "arn:aws:groundstation:us-west-2:123456789012:config/satellite/21111111-2222-3333-4444-555555555555"

Le tableau suivant résume la façon de créer des ressources avec AWS Ground Station:

Action Description

CreateConfig

Accorde l'autorisation de créer une Config

CreateDataflowEndpointGroup

Accorde l'autorisation de créer un groupe de point de terminaison de flux de données

CreateMissionProfile

Accorde l'autorisation de créer un profil de mission.

Un élément Contact est une autre ressource courante dans AWS Ground Station, qui possède un ARN de ressource. Consultez l'exemple suivant:

"arn:aws:groundstation:us-west-2:123456789012:contact/11111111-2222-3333-4444-555555555555"

Le tableau suivant récapitule comment mettre à jour d'autres ressources :

Action Description

UpdateConfig

Accorde l’autorisation de mettre à jour un élément Config

UpdateMissionProfile

Accorde l'autorisation de mettre à jour un profil de mission.

Pour afficher une liste desAWS Ground StationLes types de ressources et leurs ARN, consultezRessources définies parAWS Ground Stationdans leIAM User Guide. Pour savoir grâce à quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez Actions définies par AWS Ground Station.

Clés de condition

L'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L'élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, comme égal ou inférieur, pour faire correspondre la condition de la stratégie aux valeurs de la demande. AWS Ground Station définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition globales AWS, consultez Clés de contexte de condition globales AWS dans le Guide de l’utilisateur IAM.

Note

N'utilisez pas la clé de condition AWS globale aws:SourceIpavec AWS CloudFormation. AWS CloudFormation met à disposition des ressources en utilisant sa propre adresse IP, et non l’adresse IP de la requête d’origine. Par exemple,AWS CloudFormationlance des requêtes à partir de son adresse IP pour lancer une instance Amazon EC2 ou créer un compartiment Amazon S3. Il n'utilise pas l'adresse IP de l'opération CreateStack ou de la commande aws cloudformation create-stack, ni l'adresse IP de la personne qui émet l'appel.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d'informations, consultez Variables de stratégie dans le IAM Guide de l'utilisateur.

Toutes les actions AWS Ground Station prennent en charge les clés de condition aws:RequestedRegion et groundstation:Region. Pour de plus amples informations, veuillez consulterExemple: Restriction de l'accès à une région spécifique.

Pour afficher une liste desAWS Ground StationClés de condition, consultezClés de condition pourAWS Ground Stationdans leIAM User Guide. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez Actions définies par AWS Ground Station.

Examples

Pour voir des exemples de stratégies AWS Ground Station basées sur l'identité, consultez Exemples de stratégies AWS Ground Station basées sur l'identité.

Stratégies AWS Ground Station basées sur les ressources

AWS Ground Station ne prend pas en charge les stratégies basées sur les ressource. Pour voir un exemple de page de stratégie détaillée basée sur les ressources, veuillez consulter Utilisation de stratégies basées sur les ressources pour AWS Lambda.

Autorisation basée sur les balises AWS Ground Station

Vous pouvez attacher des balises aux ressources de AWS Ground Station, ou transmettre des balises dans une demande à AWS Ground Station. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations de balises dans l'élément de condition d'une stratégie utilisant les clés de condition groundstation:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys.

Pour visualiser un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, consultez Affichage des ConfigIds AWS Ground Station en fonction des balises.

AWS Ground StationRôles IAM

Un rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques.

AWS Ground Station ne prend actuellement pas en charge les rôles liés à un service.

Utilisation d'informations d'identification temporaires avec AWS Ground Station

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme AssumeRole ou GetFederationToken.

AWS Ground Station prend en charge l'utilisation des informations d'identification temporaires.