Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour le contrôle du routage dans Amazon Route 53 Application Recovery Controller
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier ARC des ressources Route 53. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par Route 53ARC, y compris le ARNs format de chaque type de ressource, consultez la section Actions, ressources et clés de condition pour Amazon Route 53 Application Recovery Controller dans le Service Authorization Reference.
Rubriques
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ARC ressources Route 53 dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique AWS service, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Exemple : accès à ARC la console Route 53 pour le contrôle du routage
Pour accéder à la console Amazon Route 53 Application Recovery Controller, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails des ARC ressources de la Route 53 présentes dans votre Compte AWS. Si vous créez une stratégie basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette stratégie.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la ARC console Route 53 lorsque vous n'autorisez l'accès qu'à API des opérations spécifiques, associez également une politique ReadOnly AWS gérée pour Route 53 ARC aux entités. Pour plus d'informations, consultez la page des politiques ARC gérées de ARC Route 53 Route 53 ou l'ajout d'autorisations à un utilisateur dans le guide de IAM l'utilisateur.
Pour donner aux utilisateurs un accès complet à l'utilisation des fonctionnalités de contrôle de ARC routage de Route 53 via la console, associez une politique telle que la suivante à l'utilisateur, afin de lui donner toutes les autorisations nécessaires pour configurer les ressources et les opérations de contrôle de ARC routage de Route 53 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53-recovery-cluster:GetRoutingControlState", "route53-recovery-cluster:UpdateRoutingControlState", "route53-recovery-cluster:UpdateRoutingControlStates", "route53-recovery-control-config:CreateCluster", "route53-recovery-control-config:CreateControlPanel", "route53-recovery-control-config:CreateRoutingControl", "route53-recovery-control-config:CreateSafetyRule", "route53-recovery-control-config:DeleteCluster", "route53-recovery-control-config:DeleteControlPanel", "route53-recovery-control-config:DeleteRoutingControl", "route53-recovery-control-config:DeleteSafetyRule", "route53-recovery-control-config:DescribeCluster", "route53-recovery-control-config:DescribeControlPanel", "route53-recovery-control-config:DescribeSafetyRule", "route53-recovery-control-config:DescribeRoutingControl", "route53-recovery-control-config:ListAssociatedRoute53HealthChecks", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-control-config:ListSafetyRules", "route53-recovery-control-config:UpdateControlPanel", "route53-recovery-control-config:UpdateRoutingControl", "route53-recovery-control-config:UpdateSafetyRule" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "route53:GetHealthCheck", "route53:CreateHealthCheck", "route53:DeleteHealthCheck", "route53:ChangeTagsForResource" ], "Resource": "*" } ] }
Exemples : ARC API actions Route 53 pour la configuration du contrôle du routage
Pour garantir qu'un utilisateur peut utiliser les ARC API actions Route 53 pour travailler avec la configuration du contrôle de ARC routage Route 53, associez une politique correspondant aux API opérations que l'utilisateur doit effectuer, comme décrit ci-dessous.
Pour utiliser les API opérations de configuration du contrôle de restauration, associez une politique telle que la suivante à l'utilisateur :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53-recovery-control-config:CreateCluster", "route53-recovery-control-config:CreateControlPanel", "route53-recovery-control-config:CreateRoutingControl", "route53-recovery-control-config:CreateSafetyRule", "route53-recovery-control-config:DeleteCluster", "route53-recovery-control-config:DeleteControlPanel", "route53-recovery-control-config:DeleteRoutingControl", "route53-recovery-control-config:DeleteSafetyRule", "route53-recovery-control-config:DescribeCluster", "route53-recovery-control-config:DescribeControlPanel", "route53-recovery-control-config:DescribeSafetyRule", "route53-recovery-control-config:DescribeRoutingControl", "route53-recovery-control-config:GetResourcePolicy", "route53-recovery-control-config:ListAssociatedRoute53HealthChecks", "route53-recovery-control-config:ListClusters", "route53-recovery-control-config:ListControlPanels", "route53-recovery-control-config:ListRoutingControls", "route53-recovery-control-config:ListSafetyRules", "route53-recovery-control-config:ListTagsForResource", "route53-recovery-control-config:UpdateControlPanel", "route53-recovery-control-config:UpdateRoutingControl", "route53-recovery-control-config:UpdateSafetyRule", "route53-recovery-control-config:TagResource", "route53-recovery-control-config:UntagResource" ], "Resource": "*" } ] }
Pour effectuer des tâches de contrôle de ARC routage avec le plan de données du cluster de restaurationAPI, par exemple, mettre à jour les états du contrôle de routage afin de basculer en cas de sinistre, vous pouvez associer une ARC IAM politique telle que la suivante à votre IAM utilisateur.
Le AllowSafetyRuleOverride booléen autorise le remplacement des règles de sécurité que vous avez configurées pour protéger les contrôles de routage. Cette autorisation peut être requise dans les scénarios de « bris de verre » afin de contourner les mesures de protection en cas de catastrophe ou dans d'autres scénarios de basculement urgents. Par exemple, un opérateur peut avoir besoin de basculer rapidement en cas de reprise après sinistre, et une ou plusieurs règles de sécurité peuvent empêcher de manière inattendue la mise à jour de l'état du contrôle de routage requise pour rediriger le trafic. Cette autorisation permet à l'opérateur de spécifier les règles de sécurité à contourner lorsqu'il passe des API appels pour mettre à jour les états du contrôle de routage. Pour de plus amples informations, veuillez consulter Dérogation aux règles de sécurité pour réacheminer le trafic.
Si vous souhaitez autoriser un opérateur à utiliser le plan de données du cluster de restauration tout en API évitant de contourner les règles de sécurité, vous pouvez associer une politique telle que la suivante, avec un AllowSafetyRuleOverrides booléen à. false Pour permettre à l'opérateur de contourner les règles de sécurité, définissez le AllowSafetyRuleOverrides booléen sur. true
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53-recovery-cluster:GetRoutingControlState", "route53-recovery-cluster:ListRoutingControls" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "route53-recovery-cluster:UpdateRoutingControlStates", "route53-recovery-cluster:UpdateRoutingControlState" ], "Resource": "*", "Condition": { "Bool": { "route53-recovery-cluster:AllowSafetyRulesOverrides": "false" } } } ] }
