Qu'est-ce que le contrôle d'accès ? - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce que le contrôle d'accès ?

Une fois que vous êtes connecté (authentifié) à AWS, votre accès aux ressources et opérations AWS est contrôlé à l'aide de stratégies. Le contrôle d'accès est également connu sous le nom d'autorisation.

Lors de l'autorisation, AWS utilise les valeurs du contexte de la demande pour rechercher les stratégies applicables à cette dernière. Ensuite, il utilise les politiques pour déterminer s'il autorise ou refuse la demande. La plupart des stratégies sont stockées dans AWS sous forme de documents JSON et spécifient les autorisations accordées ou refusées aux mandataires. Pour plus d'informations sur la structure et le contenu des documents de stratégie JSON, consultez En quoi consistent les politiques ?.

Les stratégies permettent à un administrateur de spécifier qui a accès aux ressources AWS et les actions pouvant être exécutées sur ces ressources. Chaque entité IAM (utilisateur ou rôle) démarre sans autorisation. En d'autres termes, par défaut, les utilisateurs ne peuvent rien faire, pas même afficher leurs propres clés d'accès. Pour autoriser un utilisateur à effectuer une opération, un administrateur doit associer une politique d'autorisations à ce dernier. Il peut également ajouter l'utilisateur à un groupe disposant des autorisations prévues. Lorsqu'un administrateur accorde des autorisations à un groupe, tous les utilisateurs de ce groupe obtiennent ces autorisations.

Vous disposez peut-être d'informations d'identification valides pour authentifier vos demandes, mais à moins qu'un administrateur ne vous accorde d'autorisations, vous ne pouvez pas créer de MediaConvert ressources AWS Elemental ni y accéder. Par exemple, vous devez disposer d'autorisations explicites pour créer une MediaConvert tâche AWS Elemental.

En tant qu'administrateur, vous pouvez rédiger une stratégie pour contrôler l'accès à ce qui suit :

  • AWSpour les mandants : contrôlez ce que l'utilisateur, le compte ou le service qui fait la demande (le mandant) est autorisé à faire.

  • IAM Identities (Identités IAM) : contrôlez à quelles identités IAM (groupes, utilisateurs et rôles) il est possible d'accéder et comment y accéder.

  • IAM Policies (Politiques IAM) : contrôlez qui peut créer, modifier et supprimer les politiques gérées par les clients, et qui peut attacher et détacher toutes les politiques gérées.

  • AWS Resources (Ressources AWS) : contrôlez qui a accès aux ressources à l'aide d'une politique basée sur les identités ou sur les ressources.

  • AWS Accounts (Comptes) : contrôle si une requête est autorisée uniquement pour les membres d'un compte spécifique.

Contrôle de l'accès pour les entités du principal

Les stratégies d'autorisation contrôlent ce que vous, en tant que mandataire, êtes autorisé à faire. Un administrateur doit associer une stratégie d'autorisation basée sur une identité à l'identité (utilisateur, groupe ou rôle) qui fournit vos autorisations. Les stratégies d'autorisation autorisent ou refusent l'accès à AWS. Les administrateurs peuvent également définir une limite d'autorisations pour une entité IAM (utilisateur ou rôle) afin de définir le nombre maximum d'autorisations maximum dont peut disposer une entité. Les limites d'autorisations constituent une fonctionnalité IAM avancée. Pour plus d'informations sur les limites d'autorisations, consultez Limites d'autorisations pour des identités IAM dans le Guide de l'utilisateur IAM.

Pour plus d'informations et un exemple sur la manière de contrôlerAWS l'accès des mandataires, consultez la section Contrôle de l'accès des mandants dans le Guide de l'utilisateur IAM.

Contrôle de l'accès aux identités

Les administrateurs peuvent contrôler les opérations que vous pouvez effectuer sur une identité IAM (utilisateur, groupe ou rôle) en créant une politique qui limite les opérations susceptibles d'être effectuées sur une identité ou les autorisations d'accès. Ensuite, associez cette stratégie à l'identité qui fournit vos autorisations.

Par exemple, un administrateur peut vous permettre de réinitialiser le mot de passe pour trois utilisateurs spécifiques. Pour ce faire, ils associent une politique à votre utilisateur IAM qui vous permet de réinitialiser le mot de passe uniquement pour vous-même et pour les utilisateurs possédant l'ARN des trois utilisateurs spécifiés. Cela vous permet de réinitialiser le mot de passe des membres de votre équipe, mais pas des autres utilisateurs IAM.

Pour plus d'informations et un exemple d'utilisation d'une politique pour contrôler l'AWSaccès aux identités, consultez la section Contrôle de l'accès aux identités dans le guide de l'utilisateur IAM.

Contrôle de l'accès aux politiques

Les administrateurs peuvent contrôler les personnes autorisées à créer, modifier et supprimer les stratégies gérées par les clients, et celles autorisées à attacher et détacher toutes les stratégies gérées. Lorsque vous examinez une stratégie, vous pouvez consulter le récapitulatif de la stratégie, lequel inclut un récapitulatif du niveau d'accès pour chaque service de cette stratégie. AWS classe chaque action de service dans l'un des quatre niveaux d'accès en fonction des opérations effectuées par l'action : List, Read, Write, ou Permissions management. Vous pouvez utiliser ces niveaux d'accès pour déterminer les actions à inclure dans vos politiques. Pour plus d'informations, consultez Présentation des récapitulatifs de niveau d'accès au sein des récapitulatifs de stratégies dans le guide de l'utilisateur IAM

Avertissement

Vous devez limiter les autorisations au niveau de l'accès dans la section de gestion des autorisations de votre compte. Dans le cas contraire, les membres de votre compte peuvent créer des stratégies pour eux-mêmes avec plus d'autorisations qu'ils ne devraient en avoir. Ou ils peuvent créer des utilisateurs distincts disposant d'un accès complet à AWS.

Pour plus d'informations et un exemple de contrôle de l'AWSaccès aux politiques, consultez la section Contrôle de l'accès aux politiques dans le guide de l'utilisateur IAM.

Contrôle de l'accès aux ressources

Les administrateurs peuvent contrôler l'accès aux ressources à l'aide d'une stratégie basée sur les identités ou sur les ressources. Dans le cadre d'une politique basée sur les identités, vous attachez la politique à une identité et vous spécifiez à quelles ressources cette identité peut accéder. Dans le cadre d'une politique basée sur les ressources, vous attachez une politique à la ressource que vous souhaitez contrôler. Dans la politique, vous spécifiez quels principaux peuvent accéder à cette ressource.

Note

AWS Elemental MediaConvert ne prend pas en charge les politiques basées sur les ressource.

Pour de plus amples informations, veuillez consulter Contrôle de l'accès aux ressources du Guide de l'utilisateur IAM.

Les créateurs de ressources ne disposent pas automatiquement d'autorisations

Toutes les ressources d'un compte appartiennent à ce compte, indépendamment de la personne qui a créé ces ressources. L'utilisateurCompte AWS root est le propriétaire du compte. Par conséquent, est autorisé à effectuer une action sur n'importe quelle ressource du compte.

Important

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour afficher les tâches qui nécessitent de se connecter en tant qu'utilisateur racine, veuillez consulter AWSTâches qui requièrent un utilisateur racine.

Les entités (utilisateurs ou rôles) de votre compte doivent obtenir un accès pour créer une ressource. Cependant, le fait de créer une ressource ne signifie pas qu'ils disposent automatiquement d'un accès complet à cette ressource. Vous devez accorder explicitement ces autorisations lors de chaque action. En outre, vous pouvez révoquer ces autorisations à tout moment, tant que vous disposez d'un accès pour gérer les autorisations relatives aux utilisateurs et aux rôles.

Contrôle de l'accès aux principaux dans un autre compte

Les administrateurs peuvent utiliserAWS des politiques basées sur les ressources, des rôles inter-comptes IAM ou leAWS Organizations service pour permettre aux principaux d'un autre compte d'accéder aux ressources de votre compte.

Pour certains services AWS, vous pouvez accorder un accès entre comptes à vos ressources. Pour cela, vous attachez une politique directement à la ressource que vous souhaitez partager, au lieu d'utiliser un rôle en tant que proxy. Si le service prend en charge ce type de stratégie, la ressource que vous souhaitez partager doit également prendre en charge les stratégies basées sur une ressource. Contrairement à une politique basée sur l'utilisateur, une politique basée sur les ressources spécifie qui (sous la forme d'une liste de numéros d'identification deAWS compte) peut accéder à cette ressource. MediaConvert ne prend pas en charge les stratégies basées sur les ressource.

L'accès entre comptes avec une stratégie basée sur les ressources présente certains avantages comparée à un rôle. Avec une ressource accessible via une stratégie basée sur une ressource, le mandataire (personne ou application) continue d'utiliser le compte approuvé sans devoir renoncer à ses autorisations d'utilisateur au profit des autorisations de rôle. En d'autres termes, le mandataire a en même temps accès aux ressources du compte approuvé et du compte d'approbation. Cela est utile pour les tâches de copie d'informations d'un compte à un autre. Pour de plus amples informations sur l'utilisation de rôles entre comptes, veuillez consulter Octroi de l'accès à un utilisateur IAM dans un autreAWS compte vous appartenant dans le Guide de l'utilisateur IAM.

AWS Organizations offre des capacités de gestion basée sur une stratégie pour plusieurs comptes AWS en votre possession. Avec Organizations, vous pouvez créer des groupes de comptes, automatiser la création de comptes et appliquer et gérer des politiques pour ces groupes. Organizations vous permettent de gérer de manière centralisée les politiques de plusieurs comptes, sans avoir besoin de scripts personnalisés ni de processus manuels. Grâce à AWS Organizations, vous pouvez créer des politiques de contrôles des services (SCP) qui régissent un service AWS de manière centralisée sur plusieurs comptes AWS. Pour plus d'informations, consultez Présentation de AWS Organizations dans le Guide de l'utilisateur AWS Organizations.