Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création et utilisation d'autorisations gérées par le client dans AWS RAM
AWS Resource Access Manager (AWS RAM) fournit au moins une autorisation AWS gérée pour chaque type de ressource que vous pouvez partager. Cependant, ces autorisations gérées peuvent ne pas fournir l'accès avec le moindre privilège pour votre cas d'utilisation du partage. Lorsque l'une des autorisations AWS gérées fournies ne fonctionne pas, vous pouvez créer votre propre autorisation gérée par le client.
Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées dans quelles conditions avec des ressources partagées AWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations requises pour effectuer des tâches sur des ressources partagées.
En outre, vous pouvez mettre à jour ou supprimer les autorisations gérées par le client selon vos besoins.
Création d'une autorisation gérée par le client
Les autorisations gérées par le client sont spécifiques à un Région AWS. Assurez-vous de créer cette autorisation gérée par le client dans la région appropriée.
- Console
-
Pour créer une autorisation gérée par le client
-
Effectuez l’une des actions suivantes :
-
Pour les détails des autorisations gérées par le client, entrez un nom d'autorisation gérée par le client.
-
Choisissez le type de ressource auquel s'applique cette autorisation gérée.
-
Pour le modèle de politique, vous définissez les opérations autorisées à être effectuées sur ce type de ressource.
-
Vous pouvez choisir Importer une autorisation gérée pour utiliser les actions d'une autorisation gérée existante.
-
Sélectionnez ou désélectionnez les informations relatives au niveau d'accès en fonction de vos besoins dans l'éditeur visuel.
-
Ajoutez ou modifiez des conditions à l'aide de l'éditeur JSON.
-
(Facultatif) Pour associer des balises à l'autorisation gérée, pour les balises, entrez une clé et une valeur de balise. Ajoutez des balises supplémentaires en choisissant Ajouter une nouvelle étiquette. Répétez cette étape autant de fois que nécessaire.
-
Lorsque vous avez terminé, choisissez Créer une autorisation gérée par le client.
- AWS CLI
-
Pour créer une autorisation gérée par le client
-
Exécutez la commande create-permission et spécifiez un nom, le type de ressource auquel s'applique l'autorisation gérée par le client et le corps du texte du modèle de politique.
L'exemple de commande suivant crée une autorisation gérée pour le type de imagebuilder:Component ressource.
$ aws ram create-permission \
--name TestCMP \
--resource-type imagebuilder:Component \
--policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680033769.401
}
}
Création d'une nouvelle version d'une autorisation gérée par le client
Si le cas d'utilisation de l'autorisation gérée par le client change, vous pouvez créer une nouvelle version de l'autorisation gérée. Cela n'affecte pas vos partages de ressources existants, uniquement les nouveaux partages de ressources à venir qui utilisent cette autorisation gérée par le client.
Chaque autorisation gérée peut comporter jusqu'à cinq versions, mais vous ne pouvez associer que la version par défaut.
- Console
-
Pour créer une nouvelle version d'une autorisation gérée par le client
-
Accédez à la bibliothèque d'autorisations gérées.
-
Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.
-
Sur la page des détails des autorisations gérées, dans la section Versions d'autorisations gérées, choisissez Créer une version.
-
Pour le modèle de politique, vous pouvez ajouter ou supprimer des actions et des conditions à l'aide de l'éditeur visuel ou de l'éditeur JSON.
Vous avez également la possibilité de choisir Importer l'autorisation gérée pour utiliser un modèle de politique existant.
-
Lorsque vous avez terminé, choisissez Créer une version au bas de la page.
- AWS CLI
-
Pour créer une nouvelle version d'une autorisation gérée par le client
-
Trouvez le nom de ressource Amazon (ARN) de l'autorisation gérée pour laquelle vous souhaitez créer une nouvelle version. Pour ce faire, appelez list-permissions avec le --permission-type
CUSTOMER_MANAGED paramètre pour inclure uniquement les autorisations gérées par le client.
$ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Une fois que vous avez l'ARN, vous pouvez appeler l'create-permission-versionopération et fournir le modèle de politique mis à jour.
$ aws ram create-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"status": "ATTACHABLE",
"resourceType": "imagebuilder:Component",
"permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
"creationTime": 1680038973.79,
"lastUpdatedTime": 1680038973.79
}
}
La sortie inclut le numéro de version de la nouvelle version.
Choisissez une version différente comme version par défaut pour une autorisation gérée par le client
Vous pouvez définir une autre version d'autorisation gérée par le client comme nouvelle version par défaut.
- Console
-
Pour définir une nouvelle version par défaut pour une autorisation gérée par le client
-
Accédez à la bibliothèque d'autorisations gérées.
-
Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.
-
Sur la page Détails des autorisations gérées par le client, sous la section Versions d'autorisations gérées, utilisez la liste déroulante pour choisir la version que vous souhaitez définir comme nouvelle version par défaut.
-
Choisissez Définir comme version par défaut.
-
Lorsque la boîte de dialogue apparaît, confirmez que vous souhaitez que cette version soit la version par défaut pour tous les nouveaux partages de ressources qui utilisent cette autorisation gérée par le client. Si vous êtes d'accord, choisissez Définir comme version par défaut.
- AWS CLI
-
Pour définir une nouvelle version par défaut pour une autorisation gérée par le client
-
Trouvez le numéro de version que vous souhaitez définir comme version par défaut en appelant list-permission-versions.
L'exemple de commande suivant permet de récupérer les versions actuelles pour l'autorisation gérée spécifiée.
$ aws ram list-permission-versions \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": false,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "UNATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680035597.345
},
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Une fois que vous avez défini le numéro de version par défaut, vous pouvez lancer l'set-default-permission-versionopération.
$ aws ram-cmp set-default-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 2
Cette commande ne renvoie aucune sortie en cas de réussite. Vous pouvez exécuter list-permission-versionsà nouveau et vérifier que le defaultVersion champ de la version choisie est désormais défini surtrue.
Supprimer une version d'autorisation gérée par le client
Vous pouvez avoir jusqu'à cinq versions de chaque autorisation gérée par le client. Lorsqu'une version n'est plus nécessaire et qu'elle n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer la version par défaut d'une autorisation gérée par le client. Les versions supprimées restent visibles dans la console pendant deux heures au maximum avec le statut de suppression avant d'être complètement supprimées.
- Console
-
Pour supprimer une version d'autorisation gérée par le client
-
Accédez à la bibliothèque d'autorisations gérées.
-
Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client avec la version que vous souhaitez supprimer.
-
Assurez-vous que la version que vous souhaitez supprimer n'est pas actuellement la version par défaut.
-
Dans la section Versions de la page, choisissez l'onglet Partages de ressources associés pour voir si des partages utilisent cette version.
Si des partages sont associés, vous devez modifier la version des autorisations gérées par le client avant de pouvoir supprimer cette version.
-
Choisissez Supprimer la version sur le côté droit de la section Version.
-
Dans la boîte de dialogue de confirmation, sélectionnez Supprimer pour confirmer que vous souhaitez supprimer cette version de votre autorisation gérée par le client.
Choisissez Annuler si vous ne souhaitez pas supprimer cette version de l'autorisation gérée par le client.
- AWS CLI
-
Pour supprimer une version d'une autorisation gérée par le client
-
Appelez l'list-permission-versionsopération pour récupérer les numéros de version disponibles.
-
Une fois que vous avez le numéro de version, indiquez-le en tant que paramètre à delete-permission-version.
$ aws ram-cmp delete-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 1
Cette commande ne renvoie aucune sortie en cas de réussite. Vous pouvez exécuter list-permission-versionsà nouveau et vérifier que la version n'est plus incluse dans la sortie.
Supprimer une autorisation gérée par le client
Si une autorisation gérée par le client n'est plus nécessaire et n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer une autorisation gérée par le client associée à un partage de ressources. L'autorisation gérée par le client supprimée disparaît au bout de deux heures. D'ici là, il reste visible dans la bibliothèque d'autorisations gérées avec un statut supprimé.
- Console
-
Pour supprimer une autorisation gérée par le client
-
Accédez à la bibliothèque d'autorisations gérées.
-
Filtrez la liste des autorisations gérées par le client ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez supprimer.
-
Vérifiez qu'aucun partage n'est associé dans la liste des autorisations gérées avant de sélectionner l'autorisation gérée par le client.
Si des partages de ressources sont toujours associés à l'autorisation gérée, vous devez attribuer une autre autorisation gérée à tous les partages de ressources avant de pouvoir continuer.
-
Dans le coin supérieur droit de la page des détails des autorisations gérées par le client, choisissez Supprimer les autorisations gérées.
-
Lorsque la boîte de dialogue de confirmation apparaît, choisissez Supprimer pour supprimer l'autorisation gérée.
- AWS CLI
-
Pour supprimer une autorisation gérée par le client
-
Trouvez l'ARN de l'autorisation gérée que vous souhaitez supprimer en appelant list-permissions avec le --permission-type
CUSTOMER_MANAGED paramètre pour inclure uniquement les autorisations gérées par le client.
$ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Une fois que vous avez l'ARN de l'autorisation gérée de suppression, fournissez-le en tant que paramètre pour delete-permission.
$ aws ram delete-permission \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"returnValue": true,
"permissionStatus": "DELETING"
}
