Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques : Gestion des autorisations
Important
Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post
Vous devez disposer d'informations d'identification AWS pour accéder aux ressources de votre compte. Voici quelques conseils généraux pour donner accès à vos employés.
-
Tout d'abord, nous vous déconseillons d'utiliser les informations d'identification racine de votre compte pour accéder aux ressources AWS.
Créez plutôt des identités IAM pour vos employés et ajoutez des autorisations qui fournissent un accès approprié. Chaque employé peut ensuite utiliser ses informations d'identification pour accéder aux ressources.
-
Les employés doivent disposer d'autorisations pour accéder uniquement aux ressources dont ils ont besoin pour effectuer leurs tâches.
Par exemple, les développeurs d'applications ont besoin d'accéder uniquement aux piles qui exécutent leurs applications.
-
Les employés doivent disposer d'autorisations pour utiliser uniquement les actions nécessaires à la réalisation de leurs tâches.
Un développeur d'applications peut avoir besoin d'autorisations complètes pour une pile de développement et d'autorisations pour déployer ses applications sur la pile de production correspondante. Ils n'ont probablement pas besoin des autorisations permettant de démarrer ou d'arrêter les instances sur la pile de production, de créer ou de supprimer des couches, etc.
Pour plus d'informations générales sur la gestion des autorisations, consultez Informations d'identification de sécurité AWS.
Vous pouvez utiliser AWS OpsWorks Stacks ou IAM pour gérer les autorisations des utilisateurs. Notez que les deux options ne s'excluent pas mutuellement. Il convient parfois d'utiliser les deux.
- AWS OpsWorks Gestion des autorisations de Stacks
-
Chaque pile a une page Permissions (Autorisations) que vous pouvez utiliser pour donner aux utilisateurs les autorisations d'accès à la pile et spécifier les actions qu'ils peuvent effectuer. Vous spécifiez les autorisations d'un utilisateur en définissant l'un des niveaux d'autorisation suivants. Chaque niveau représente une politique IAM qui accorde des autorisations pour un ensemble d'actions standard.
-
Deny (Refuser) refuse l'autorisation d'interagir avec la pile de quelque façon que ce soit.
-
Show (Afficher) octroie des autorisations d'affichage de la configuration de la pile, mais pas de modification de l'état de la pile de quelque façon que ce soit.
-
Deploy (Déployer) inclut les autorisations Show (Afficher) et octroie également des autorisations de déploiement des applications aux utilisateurs.
-
Manage (Gérer) inclut les autorisations Deploy (Déployer) et permet également à l'utilisateur d'effectuer diverses actions de gestion de la pile, telles que la création ou la suppression des couches et des instances.
Note
Le niveau Gérer les autorisations n'accorde pas d'autorisations pour un petit nombre d'actions de haut niveau dans les AWS OpsWorks Stacks, y compris la création ou le clonage de piles. Vous devez utiliser une politique IAM pour accorder ces autorisations.
Outre la définition des niveaux d'autorisation, vous pouvez également utiliser la page Permissions (Autorisations) de la pile pour spécifier si les utilisateurs ont des privilèges SSH/RDP et sudo/administrateur sur les instances de la pile. Pour plus d'informations sur la gestion des autorisations AWS OpsWorks Stacks, consultez Attribution des autorisations par pile. Pour plus d'informations sur la gestion de l'accès SSH, consultez Gestion de l'accès SSH.
-
- Gestion des autorisations IAM
-
Avec la gestion des autorisations IAM, vous utilisez la console, l'API ou la CLI IAM pour associer une politique au format JSON à un utilisateur qui spécifie explicitement ses autorisations. Pour plus d'informations sur la gestion des autorisations IAM, voir Qu'est-ce que l'IAM ? .
Recommandation : Commencez par la gestion des autorisations AWS OpsWorks Stacks. Si vous avez besoin d'affiner les autorisations d'un utilisateur ou d'accorder à un utilisateur des autorisations qui ne sont pas incluses dans les niveaux d'autorisation Manage (Gérer), vous pouvez combiner les deux approches. AWS OpsWorks Stacks évalue ensuite les deux politiques pour déterminer les autorisations de l'utilisateur.
Important
Si un utilisateur applique plusieurs politiques avec des autorisations contradictoires, le refus l'emporte toujours. Supposons, par exemple, que vous associez une politique IAM à un utilisateur qui autorise l'accès à une pile particulière, mais que vous utilisiez également la page Autorisations de la pile pour attribuer à l'utilisateur un niveau d'autorisation de refus. Les autorisations Deny (Refuser) sont prioritaires et l'utilisateur ne sera pas en mesure d'accéder à la pile. Pour plus d'informations, consultez la section Logique d'évaluation des politiques IAM.
Par exemple, supposons que vous souhaitiez qu'un utilisateur puisse effectuer la plupart des opérations sur une pile, à l'exception de l'ajout ou de la suppression des couches.
-
Spécifiez un niveau d'autorisations Manage (Gérer) qui permet à l'utilisateur d'effectuer la plupart des actions de gestion de la pile, y compris la création et la suppression des couches.
-
Attachez à l'utilisateur la politique gérée par le client suivante, qui refuse l'autorisation d'utiliser les DeleteLayeractions CreateLayeret sur cette pile. Vous identifiez la pile grâce à son nom de ressource Amazon (ARN), qui se trouve sur la page Settings (Paramètres) de la pile.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] }
Pour plus d'informations, y compris des exemples de stratégie, consultez Gestion des autorisations de AWS OpsWorks Stacks en joignant une politique IAM.
Note
Une autre façon d'utiliser la politique IAM consiste à définir une condition qui limite l'accès à la pile aux employés possédant une adresse IP ou une plage d'adresses spécifiée. Par exemple, pour veiller à ce que les employés accèdent aux piles uniquement depuis l'intérieur de votre pare-feu d'entreprise, définissez une condition qui limite l'accès à votre plage d'adresses IP d'entreprise. Pour plus d'informations, consultez Conditions.
