Création et utilisation d'autorisations gérées par le client dansAWS RAM - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création et utilisation d'autorisations gérées par le client dansAWS RAM

AWS Resource Access Manager(AWS RAM) fournit au moins une autorisationAWS gérée pour chaque type de ressource que vous pouvez partager. Toutefois, il se peut que ces autorisations gérées ne fournissent pas l'accès avec le moindre privilège pour votre cas d'utilisation en matière de partage. Lorsque l'une des autorisationsAWS gérées fournies ne fonctionne pas, vous pouvez créer votre propre autorisation gérée par le client.

Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées et dans quelles conditions avec les ressources partagéesAWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la bonne pratique du privilège, principe du privilège, principe du privilège, principe qui ne faut accorder que les autorisations requises pour des tâches sur des ressources partagées.

En outre, vous pouvez mettre à jour ou supprimer les autorisations gérées par le client selon vos besoins.

Créer une autorisation gérée par le client

Les autorisations gérées par le client sont spécifiques à unRégion AWS. Assurez-vous de créer cette autorisation gérée par le client dans la région appropriée.

Console
Pour créer une autorisation gérée par le client
  1. Effectuez l'une des actions suivantes :

  2. Pour les détails des autorisations gérées par le client, entrez un nom d'autorisation gérée par le client.

  3. Choisissez le type de ressource auquel cette autorisation gérée s'applique.

  4. Pour le modèle de politique, vous définissez les opérations autorisées à être effectuées sur ce type de ressource.

    • Vous pouvez choisir Importer une autorisation gérée pour utiliser les actions d'une autorisation gérée existante.

    • Sélectionnez ou désélectionnez les informations de niveau d'accès pour répondre à vos besoins dans l'éditeur visuel.

    • Ajoutez ou modifiez des conditions à l'aide de l'éditeur JSON.

  5. (Facultatif) Pour associer des balises à l'autorisation gérée, dans Tags, entrez une clé et une valeur de balise. Ajoutez des balises supplémentaires en choisissant Ajouter une nouvelle étiquette. Répétez cette étape si nécessaire.

  6. Lorsque vous avez terminé, choisissez Create Customer Managed Permission.

AWS CLI
Pour créer une autorisation gérée par le client
  • Exécutez la commande create-permission et spécifiez un nom, le type de ressource auquel s'applique l'autorisation gérée par le client et le corps du texte du modèle de politique.

    L'exemple de commande suivant crée une autorisation gérée pour le type deimagebuilder:Component ressource.

    $ aws ram create-permission \ --name TestCMP \ --resource-type imagebuilder:Component \ --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}" { "permission": { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "1", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680033769.401, "lastUpdatedTime": 1680033769.401 } }

Créer une nouvelle version d'une autorisation gérée par le client

Si le cas d'utilisation de votre autorisation gérée par le client change, vous pouvez créer une nouvelle version de l'autorisation gérée. Cela n'affecte pas vos partages de ressources existants, mais uniquement les nouveaux partages de ressources à venir qui utilisent cette autorisation gérée par le client.

Chaque autorisation gérée peut avoir jusqu'à cinq versions, mais vous ne pouvez associer que la version par défaut.

Console
Pour créer une nouvelle version d'une autorisation gérée par le client
  1. Accédez à la bibliothèque des autorisations gérées.

  2. Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.

  3. Sur la page de détails des autorisations gérées, dans la section Versions des autorisations gérées, choisissez Créer une version.

  4. Pour le modèle de politique, vous pouvez ajouter ou supprimer des actions et des conditions à l'aide de l'éditeur visuel ou de l'éditeur JSON.

    Vous avez également la possibilité de choisir Importer une autorisation gérée pour utiliser un modèle de politique existant.

  5. Lorsque vous avez terminé, choisissez Create version en bas de la page.

AWS CLI
Pour créer une nouvelle version d'une autorisation gérée par le client
  1. Recherchez l'Amazon Resource Name (ARN) de l'autorisation gérée pour laquelle vous souhaitez créer une nouvelle version. Pour ce faire, appelez list-permissions avec le--permission-type CUSTOMER_MANAGED paramètre pour inclure uniquement les autorisations gérées par le client.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] }
  2. Une fois que vous avez obtenu l'ARN, vous pouvez appeler l'create-permission-versionopération et fournir le modèle de politique mis à jour.

    $ aws ram create-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]} { "permission": { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "status": "ATTACHABLE", "resourceType": "imagebuilder:Component", "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}", "creationTime": 1680038973.79, "lastUpdatedTime": 1680038973.79 } }

    La sortie inclut le numéro de version de la nouvelle version.

Choisissez une autre version comme version par défaut pour une autorisation gérée par le client

Vous pouvez définir une autre version d'autorisation gérée par le client comme nouvelle version par défaut.

Console
Pour définir une nouvelle version par défaut pour une autorisation gérée par le client
  1. Accédez à la bibliothèque des autorisations gérées.

  2. Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.

  3. Sur la page de détails des autorisations gérées par le client, dans la section Versions des autorisations gérées, utilisez la liste déroulante pour choisir la version que vous souhaitez définir comme nouvelle version par défaut.

  4. Choisissez Définir comme version par défaut.

  5. Lorsque la boîte de dialogue apparaît, confirmez que vous souhaitez que cette version soit la version par défaut pour tous les nouveaux partages de ressources qui utilisent cette autorisation gérée par le client. Si vous êtes d'accord, choisissez Définir comme version par défaut.

AWS CLI
Pour définir une nouvelle version par défaut pour une autorisation gérée par le client
  1. Trouvez le numéro de version que vous souhaitez définir comme version par défaut en appelant list-permission-versions.

    L'exemple de commande suivant récupère les versions actuelles pour l'autorisation gérée spécifiée.

    $ aws ram list-permission-versions \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "1", "defaultVersion": false, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "featureSet": "STANDARD", "resourceType": "imagebuilder:Component", "status": "UNATTACHABLE", "creationTime": 1680033769.401, "lastUpdatedTime": 1680035597.345 }, { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "featureSet": "STANDARD", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] }
  2. Une fois que vous avez défini le numéro de version par défaut, vous pouvez lancer l'set-default-permission-versionopération.

    $ aws ram-cmp set-default-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --version 2

    Cette commande ne renvoie aucun résultat en cas de succès. Vous pouvez exécuter list-permission-versionsà nouveau et vérifier que ledefaultVersion champ de la version choisie est désormais défini surtrue.

Supprimer une version d'autorisation gérée par le client

Vous pouvez avoir jusqu'à cinq versions pour chaque autorisation gérée par le client. Lorsqu'une version n'est plus nécessaire et n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer la version par défaut d'une autorisation gérée par le client. Les versions supprimées restent visibles dans la console pendant deux heures au maximum avec un statut de suppression avant d'être complètement supprimées.

Console

Pour supprimer une version d'autorisation gérée par le client

  1. Accédez à la bibliothèque des autorisations gérées.

  2. Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client avec la version que vous souhaitez supprimer.

  3. Assurez-vous que la version que vous souhaitez supprimer n'est pas actuellement la version par défaut.

  4. Dans la section Versions de la page, choisissez l'onglet Partages de ressources associés pour voir si des partages utilisent cette version.

    Si des partages sont associés, vous devez modifier la version des autorisations gérées par le client avant de pouvoir supprimer cette version.

  5. Choisissez Supprimer la version sur le côté droit de la section Version.

  6. Dans la boîte de dialogue de confirmation, choisissez Supprimer pour confirmer la suppression de cette version de votre autorisation gérée par le client.

    Choisissez Annuler si vous ne souhaitez pas supprimer cette version de votre autorisation gérée par le client.

AWS CLI
Pour supprimer une version d'une autorisation gérée par le client
  1. Appelez l'list-permission-versionsopération pour récupérer les numéros de version disponibles.

  2. Une fois que vous avez le numéro de version, fournissez-le en tant que paramètre à delete-permission-version.

    $ aws ram-cmp delete-permission-version \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \ --version 1

    Cette commande ne renvoie aucun résultat en cas de succès. Vous pouvez exécuter list-permission-versionsà nouveau et vérifier que la version n'est plus incluse dans la sortie.

Supprimer une autorisation gérée par le client

Si une autorisation gérée par le client n'est plus nécessaire et n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer une autorisation gérée par le client associée à un partage de ressources. L'autorisation gérée par le client supprimée disparaît au bout de deux heures. D'ici là, il reste visible dans la bibliothèque d'autorisations gérées avec un statut supprimé.

Console

Pour supprimer une autorisation gérée par le client

  1. Accédez à la bibliothèque des autorisations gérées.

  2. Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez supprimer.

  3. Vérifiez qu'aucun partage n'est associé dans la liste des autorisations gérées avant de sélectionner l'autorisation gérée par le client.

    S'il existe toujours des partages de ressources associés à l'autorisation gérée, vous devez attribuer une autre autorisation gérée à tous les partages de ressources avant de pouvoir continuer.

  4. Dans le coin supérieur droit de la page de détails des autorisations gérées par le client, choisissez Supprimer l'autorisation gérée.

  5. Lorsque la boîte de dialogue de confirmation apparaît, choisissez Supprimer pour supprimer l'autorisation gérée.

AWS CLI
Pour supprimer une autorisation gérée par le client
  1. Trouvez l'ARN de l'autorisation gérée que vous souhaitez supprimer en appelant list-permissions avec le--permission-type CUSTOMER_MANAGED paramètre pour inclure uniquement les autorisations gérées par le client.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED { "permissions": [ { "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP", "version": "2", "defaultVersion": true, "isResourceTypeDefault": false, "name": "TestCMP", "permissionType": "CUSTOMER_MANAGED", "resourceType": "imagebuilder:Component", "status": "ATTACHABLE", "creationTime": 1680035597.346, "lastUpdatedTime": 1680035597.346 } ] }
  2. Une fois que vous avez obtenu l'ARN de l'autorisation gérée de suppression, fournissez-le en tant que paramètre pour delete-permission.

    $ aws ram delete-permission \ --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP { "returnValue": true, "permissionStatus": "DELETING" }