Gestion de l’identité et des accès

AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur de comptes de contrôler l’accès aux ressources AWS en toute sécurité. Chaque ressource AWS appartient à un compte AWS et les autorisations de créer des ressources et d’y accéder sont régies par des politiques d’autorisation. Les administrateurs de comptes IAM contrôlent les personnes pouvant être authentifiées (connectées) et autorisées (disposant d’autorisations) à utiliser des ressources Amazon IVS. IAM est une fonctionnalité de votre compte AWS proposée sans frais supplémentaires.

Important : pour des informations détaillées, consultez la page du produit AWS IAM, le Guide de l’utilisateur IAM et la Signature des requêtes d’API AWS. Tout au long de cette section, nous fournissons également des liens vers des sections spécifiques du Guide de l’utilisateur IAM. Vous devez bien connaître ce guide avant de procéder.

Public ciblé

Votre utilisation d’IAM diffère selon les tâches réalisées dans Amazon IVS :

• Utilisateur du service : si vous utilisez le service Amazon IVS pour effectuer vos tâches, votre administrateur vous fournira les informations d’identification et les autorisations nécessaires. Il est possible que vous ayez besoin d’autorisations supplémentaires si vous utilisez davantage de fonctionnalités Amazon IVS. En comprenant la gestion des accès, vous n’aurez aucun mal à demander les bonnes autorisations à votre administrateur. Si vous ne pouvez pas accéder à une fonctionnalité dans Amazon IVS, consultez Résolution des problèmes.

• Administrateur du service : si vous êtes le responsable des ressources Amazon IVS de votre entreprise, vous bénéficiez probablement d’un accès total à ce service. C’est à vous de déterminer les fonctionnalités et les ressources Amazon IVS auxquelles vos employés pourront accéder. Vous devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service. Consultez les informations figurant sur cette page pour comprendre les concepts de base d’IAM. Pour découvrir la façon dont votre entreprise peut utiliser IAM avec Amazon IVS, consultez Fonctionnement d’Amazon IVS avec IAM.

• Administrateur IAM : si vous êtes un administrateur IAM, vous pouvez rédiger des politiques afin de gérer l’accès à Amazon IVS. Pour afficher des exemples de politiques basées sur l’identité Amazon IVS que vous pouvez utiliser dans IAM, consultez Exemples de politiques basées sur l’identité.

Fonctionnement d’Amazon IVS avec IAM

Avant de pouvoir effectuer des demandes d’API Amazon IVS, vous devez créer une ou plusieurs identités IAM (utilisateurs, groupes et rôles) ainsi que des politiques IAM, puis rattacher les politiques aux identités. La propagation des autorisations peut prendre quelques minutes. Jusque-là, les demandes d’API sont rejetées.

Pour une vue d’ensemble du fonctionnement d’Amazon IVS avec IAM, veuillez consulter la rubrique Services AWS qui fonctionnent avec IAM dans le Guide de l’utilisateur IAM.

Identités

Vous pouvez créer des identités IAM pour fournir une authentification aux personnes et aux processus de votre compte AWS. Les groupes IAM sont des collections d’utilisateurs IAM que vous gérez en tant qu’unité. Consultez la section Identités (utilisateurs, groupes et rôles) du Guide de l’utilisateur IAM.

Politiques

Consultez ces sections dans le Guide de l’utilisateur IAM :

• Gestion des accès : tout sur les politiques.

• Actions, ressources et clés de condition pour Amazon IVS

• Clés de contexte de condition globale AWS

• Références des éléments de politique JSON IAM : tous les éléments que vous pouvez utiliser dans une politique JSON.

Par défaut, les utilisateurs et les rôles IAM n’ont pas l’autorisation de créer ou de modifier des ressources Amazon IVS (même s’il s’agit de modifier leurs propres mots de passe). Ils ne peuvent pas non plus exécuter de tâches à l’aide de la console AWS, de l’AWS CLI ou de l’API AWS. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin.

Les politiques IAM définissent les autorisations d’une action, quelle que soit la méthode que vous utilisez pour exécuter l’opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action iam:GetRole. Un utilisateur disposant de cette stratégie peut obtenir des informations de rôle à partir de la console de gestion AWS, de l’AWS CLI ou de l’API AWS.

Les politiques sont des documents de politique d’autorisation JSON composés d’éléments. Amazon IVS prend en charge trois éléments :

• Actions : les actions de politique pour Amazon IVS utilisent le préfixe ivs avant l’action. Par exemple, pour donner l’autorisation à une personne de créer un canal Amazon IVS avec la méthode d’API Amazon IVS CreateChannel, vous devez inclure l’action ivs:CreateChannel dans la politique destinée à cette personne. Les déclarations de politique doivent inclure un élément Action ou NotAction.

• Ressources : la ressource de canal Amazon IVS possède le format d’ARN suivant :

  arn:aws:ivs:${Region}:${Account}:channel/${channelId}

  Par exemple, pour spécifier le canal VgNkEJgOVX9N dans votre instruction, utilisez l’ARN suivant :

  "Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"

  Certaines actions Amazon IVS, comme celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ce cas, vous devez utiliser le caractère générique (*) :

  "Resource":"*"

• Conditions : Amazon IVS prend en charge certaines clés de condition globales, soit aws:RequestTag, aws:TagKeys et aws:ResourceTag.

Vous pouvez utiliser des variables pour créer des espaces réservés dans une politique. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Consultez la section Variables et balises du Guide de l’utilisateur IAM.

Amazon IVS propose des politiques gérées par AWS qui peuvent être utilisées pour accorder un ensemble préconfiguré d’autorisations aux identités (lecture seule ou accès complet). Vous pouvez choisir d’utiliser des politiques gérées au lieu des politiques basées sur l’identité présentées ci-dessous. Pour plus de détails, consultez Managed Policies for Amazon IVS.

Autorisation basée sur les balises Amazon IVS

Vous pouvez rattacher des balises aux ressources Amazon IVS ou transmettre des balises dans une demande à Amazon IVS. Pour contrôler l’accès basé sur des balises, vous devez fournir les informations des balises dans l’élément de condition d’une politique utilisant les clés de condition aws:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys. Pour plus d’informations sur le balisage des ressources Amazon IVS, consultez la section « Balisage » dans la Référence de l’API de streaming à faible latence IVS, dans la Référence de l’API de streaming en temps réel IVS, et dans la Référence de l’API IVS Chat.

Pour obtenir un exemple, consultez Afficher les canaux Amazon IVS en fonction des balises.

Rôles

Consultez les sections Rôles IAM et Informations d’identification de sécurité temporaires du Guide de l’utilisateur IAM.

Un rôle IAM est une entité au sein de votre compte AWS qui dispose d’autorisations spécifiques.

Amazon IVS est compatible avec l’utilisation des informations d’identification de sécurité temporaires. Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d’identification de sécurité temporaires en appelant les opérations d’API AWS Security Token Service telles que AssumeRole ou GetFederationToken.

Accès privilégié et non privilégié

Les ressources API ont un accès privilégié. L’accès à la lecture non privilégié peut être configuré via des canaux privés ; consultez Configurer des canaux privés.

Bonnes pratiques pour l’utilisation des politiques

Consultez les Bonnes pratiques IAM dans le Guide de l’utilisateur IAM.

Les politiques basées sur l’identité sont très puissantes. Elles déterminent si une personne peut créer, consulter ou supprimer des ressources Amazon IVS sur votre compte. Ces actions peuvent entraîner des frais pour votre compte AWS. Suivez ces recommandations :

• Accorder le privilège le plus faible : lorsque vous créez des politiques personnalisées, accordez uniquement les autorisations nécessaires à l’exécution d’une tâche. Commencez avec un minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d’essayer de les restreindre plus tard. Plus précisément, réservez ivs:* à l’accès administrateur ; ne l’utilisez pas dans les applications.

• Activer la MFA pour les opérations confidentielles — Pour plus de sécurité, demandez aux utilisateurs IAM d’utiliser la Multi-Factor Authentication (MFA) pour accéder à des ressources ou à des opérations d’API confidentielles.

• Utiliser des conditions de politique pour davantage de sécurité : définissez les conditions dans lesquelles vos politiques basées sur l’identité autorisent l’accès à une ressource, dans la mesure où cela reste pratique. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d’adresses IP autorisées d’où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriser les requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l’utilisation de SSL ou de MFA.

Exemples de politiques basées sur l’identité

Utiliser la console Amazon IVS

Pour accéder à la console Amazon IVS, vous devez disposer d’un ensemble minimum d’autorisations qui vous permet de répertorier et d’afficher les détails des ressources Amazon IVS sur votre compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette politique. Pour garantir l’accès à la console Amazon IVS, rattachez la politique suivante aux identités (consultez la section Ajout et suppression d’autorisations IAM du Guide de l’utilisateur IAM).

Les quatre parties de la politique suivante donnent accès à :

• Tous les points de terminaison API Amazon IVS

• Vos Service Quotas Amazon IVS

• Points de terminaison Amazon S3 nécessaires pour la fonctionnalité d’enregistrement automatique vers S3 d’IVS (streaming à faible latence) et la fonctionnalité d’enregistrement composite d’IVS (streaming en temps réel).

• Création d’un rôle lié à un service pour l’enregistrement automatique vers S3

• Amazon Cloudwatch pour obtenir des métriques pour votre session en direct

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "ivs:*",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "servicequotas:ListServiceQuotas"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucketPolicy",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicy",
        "s3:ListAllMyBuckets",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
    },
    {
      "Action": [
        "cloudwatch:GetMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "lambda:AddPermission",
        "lambda:ListFunctions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Autoriser les utilisateurs à afficher leurs propres autorisations

Cet exemple montre une politique permettant aux utilisateurs IAM d’afficher les politiques en ligne et gérées qui sont rattachées à leur identité d’utilisateur. Cette stratégie inclut les autorisations nécessaires pour réaliser cette action sur la console AWS ou par programmation à l’aide de l’AWS CLI ou de l’API AWS.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ViewOwnUserInfo",
         "Effect": "Allow",
         "Action": [
            "iam:GetUserPolicy",
            "iam:ListGroupsForUser",
            "iam:ListAttachedUserPolicies",
            "iam:ListUserPolicies",
            "iam:GetUser"
         ],
         "Resource": [
            "arn:aws:iam:*:*:user/${aws:username}"
         ]
      },
      {
         "Sid": "NavigateInConsole",
         "Effect": "Allow",
         "Action": [
            "iam:GetGroupPolicy",
            "iam:GetPolicyVersion",
            "iam:GetPolicy",
            "iam:ListAttachedGroupPolicies",
            "iam:ListGroupPolicies",
            "iam:ListPolicyVersions",
            "iam:ListPolicies",
            "iam:ListUsers"
         ],
         "Resource": "*"
      }
   ]
}

Accéder à un canal Amazon IVS

Vous souhaitez accorder à un utilisateur IAM de votre compte AWS l’accès à l’un de vos canaux Amazon IVS, VgNkEJgOVX9N. Vous souhaitez également autoriser l’utilisateur à arrêter le flux (ivs:StopStream), ajouter des métadonnées (ivs:PutMetadata) et mettre à jour le canal (ivs:UpdateChannel). Cette politique accorde également les autorisations requises par la console Amazon IVS : ivs:ListChannels, ivs:ListStreams, ivs:GetChannel et ivs:GetStream.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ListChannelsInConsole",
         "Effect":"Allow",
         "Action":[
            "ivs:ListChannels",
            "ivs:ListStreams"

         ],
         "Resource":"arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid":"ViewSpecificChannelInfo",
         "Effect":"Allow",
         "Action":[
            "ivs:GetChannel",
            "ivs:GetStream"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
      },
      {
         "Sid":"ManageChannel",
         "Effect":"Allow",
         "Action":[
            "ivs:StopStream",
            "ivs:PutMetadata",
            "ivs:UpdateChannel"
         ],
         "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" 
      }
   ]
}

Afficher les canaux Amazon IVS en fonction des balises

Vous pouvez utiliser des conditions dans votre politique basée sur l’identité pour contrôler l’accès aux ressources Amazon IVS en fonction des balises. Cet exemple montre une politique permettant d’afficher un canal. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console Amazon IVS.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ListWidgetsInConsole",
         "Effect": "Allow",
         "Action": "ivs:ListChannels",
         "Resource": "arn:aws:ivs:*:*:channel/*"
      },
      {
         "Sid": "ViewChannelIfOwner",
         "Effect": "Allow",
         "Action": "ivs:GetChannel",
         "Resource": "arn:aws:ivs:*:*:channel/*",
         "Condition": {
            "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
         }
      }
   ]
}

Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Cependant, l’autorisation n’est accordée que si le nom d’utilisateur est considéré comme propriétaire du canal. Si un utilisateur nommé richard-roe tente d’afficher un canal Amazon IVS, il doit contenir une balise Owner=richard-roe ou owner=richard-roe. Sinon, l’utilisateur se voit refuser l’accès. La clé de condition de balise Owner correspond à la fois à Owner et à owner, car les noms de clé de condition ne sont pas sensibles à la casse.

Résolution des problèmes

Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon IVS et IAM.

• Je ne suis pas autorisé à effectuer une action sur Amazon IVS.

  L’exemple d’erreur suivant se produit lorsque l’utilisateur IAM mateojackson tente d’utiliser la console AWS pour afficher des détails sur un canaI, mais ne dispose pas de l’autorisation ivs:GetChannel.

  User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N

  Le cas échéant, Mateo doit demander à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N à l’aide de l’action ivs:GetChannel.

• Je veux afficher mes clés d’accès

  Une fois les clés d’accès utilisateur IAM créées, vous pouvez afficher votre ID de clé d’accès à tout moment. Toutefois, vous ne pouvez pas revoir votre clé d’accès secrète. Si vous perdez votre clé d’accès secrète, vous devez créer une nouvelle paire de clés. Les clés d’accès se composent de deux parties :

  • Un ID de clé d’accès (ex : AKIAIOSFODNN7EXAMPLE)

  • Une clé d’accès secrète (ex : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)

  À l’instar d’un nom d’utilisateur et d’un mot de passe, vous devez utiliser à la fois l’ID de clé d’accès et la clé d’accès secrète pour authentifier vos demandes. Faites attention à vos clés d’accès au même titre que votre nom d’utilisateur et votre mot de passe.

  Important : ne communiquez pas vos clés d’accès à un tiers, même pour qu’il vous aide à trouver votre d’ID utilisateur canonique. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

  Lorsque vous créez une paire de clés d’accès, enregistrez l’ID de clé d’accès et la clé d’accès secrète dans un emplacement sécurisé. La clé d’accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d’accès secrète, vous devez générer de nouvelles clés d’accès pour votre utilisateur IAM.

  Vous pouvez avoir deux clés d’accès maximum. Si vous en avez déjà deux, vous devez supprimer une paire de clés avant d’en créer une nouvelle. Consultez la section Gestion des clés d’accès pour les utilisateurs IAM du Guide de l’utilisateur IAM.

• Je suis un administrateur et je veux autoriser d’autres utilisateurs à accéder à Amazon IVS.

  Pour permettre à d’autres utilisateurs d’accéder à Amazon IVS, vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l’application nécessitant un accès. La personne ou l’application utiliseront les informations d’identification de cette entité pour accéder à AWS. Vous devez ensuite rattacher une politique à l’entité qui va lui accorder les autorisations nécessaires dans Amazon IVS.

  Pour démarrer, consultez la section Création de votre premier groupe et utilisateur délégué IAM du Guide de l’utilisateur IAM.

• Je souhaite autoriser des personnes n’appartenant pas à mon compte AWS à accéder à mes ressources Amazon IVS.

  Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation peuvent utiliser pour accéder à vos ressources. Vous pouvez spécifier la personne à qui vous souhaitez confier le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d’accès (ACL), vous pouvez utiliser ces politiques pour donner l’accès à vos ressources. Pour obtenir des informations connexes, consultez ces sections du Guide de l’utilisateur IAM :

  Pour apprendre ...	Voir…
  Comment donner à vos ressources l’accès aux comptes AWS que vous possédez	Octroi de l’accès à un utilisateur IAM dans un autre compte AWS vous appartenant
  Comment donner à vos ressources l’accès à des comptes AWS tiers	Octroi d’un accès à des comptes AWS appartenant à des tiers
  Comment donner un accès via la fédération d’identité	Octroyer l’accès à des utilisateurs authentifiés en externe (fédération d’identité)
  Différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte	Différence entre les rôles IAM et les politiques basées sur les ressources