Gestion des autorisations dansAWS RAM - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des autorisations dansAWS RAM

DansAWS RAM, il existe deux types d'autorisations gérées, les autorisationsAWS gérées et les autorisations gérées par le client.

Les autorisations gérées définissent la manière dont un consommateur peut agir sur les ressources d'un partage de ressources. Lorsque vous créez un partage de ressources, vous devez spécifier l'autorisation gérée à utiliser pour chaque type de ressource inclus dans le partage de ressources. Le modèle de stratégie inclus dans l'autorisation gérée contient tous les éléments nécessaires à une stratégie basée sur les ressources, à l'exception du principal et de la ressource. L'Amazon Resource Name (ARN) de la ressource et l'ARN des ressources. AWS RAMcrée ensuite la politique basée sur les ressources qu'il associe à toutes les ressources de ce partage de ressources.

Chaque autorisation gérée peut avoir une ou plusieurs versions. Une version est désignée comme version par défaut pour cette autorisation gérée. De temps en temps,AWS met à jour une autorisationAWS gérée pour un type de ressource en créant une nouvelle version et en désignant cette nouvelle version comme version par défaut. Vous pouvez également mettre à jour les autorisations gérées par vos clients en créant de nouvelles versions. Les autorisations gérées qui sont déjà associées à un partage de ressources ne sont pas automatiquement mises à jour. LaAWS RAM console indique quand une nouvelle version par défaut est disponible et vous pouvez consulter les modifications apportées à la nouvelle version par défaut par rapport à la précédente.

Note

Nous vous recommandons de passer à la nouvelle version des autorisationsAWS gérées. Ces mises à jour ajoutent généralement la prise en charge des nouvelles ou des mises à jourServices AWS qui peuvent partager des types de ressources supplémentaires à l'aide deAWS RAM. Une nouvelle version par défaut peut également corriger les failles de sécurité.

Important

Vous pouvez uniquement associer la version par défaut de l'autorisation gérée à un nouveau partage de ressources.

Vous pouvez récupérer la liste des autorisations gérées disponibles. Pour plus d'informations, veuillez consulter Affichage des autorisations gérées.

Comment fonctionnent les autorisations gérées

Pour une présentation rapide, regardez la vidéo suivante qui montre comment les autorisations gérées vous permettent d'appliquer la meilleure pratique du moindre privilège d'accès à vosAWS ressources.

Cette vidéo montre comment créer et associer des autorisations gérées par les clients en suivant la bonne pratique que l'on appelle principe du moindre privilège. Pour plus d'informations, consultez Création et utilisation d'autorisations gérées par le client dansAWS RAM.

Lorsque vous créez un partage de ressources, vous associez une autorisationAWS gérée à chaque type de ressource que vous souhaitez partager. Si l'autorisation gérée comporte plusieurs versions, le nouveau partage de ressources utilise toujours la version désignée par défaut.

Après avoir créé le partage de ressources,AWS RAM utilise l'autorisation gérée pour générer une politique basée sur les ressources qui est attachée à chaque ressource partagée.

Le modèle de politique d'une autorisation gérée spécifie les éléments suivants :

Effet

Indique s'il estAllow possible d'effectuer une opération sur une ressource partagée ouDeny s'il s'agit de l'autorisation principale requise. Pour une autorisation gérée, l'effet est toujours le mêmeAllow. Pour de plus amples informations, veuillez consulter Effets dans l'Guide de l'utilisateur IAM.

Action

La liste des opérations que le principal est autorisé à effectuer. Il peut s'agir d'une action dans leAWS Management Console ou d'une opération dans leAWS Command Line Interface (AWS CLI) ouAWS l'API. Les actions sont définies par l'AWSautorisation. Pour plus d'informations, consultez la section Action du guide de l'utilisateur IAM.

Condition

Quand et comment un mandant peut interagir avec une ressource dans le cadre d'un partage de ressources. Les conditions ajoutent un niveau de sécurité supplémentaire à vos ressources partagées. Utilisez-les pour limiter l'accès à vos ressources partagées pour des actions sensibles. Par exemple, vous pouvez inclure des conditions exigeant que les actions proviennent d'une plage d'adresses IP d'entreprise spécifique, ou que les actions doivent être effectuées par des utilisateurs authentifiés à l'aide d'une authentification multifactorielle. Pour de plus amples informations sur les conditions, veuillez consulter la rubrique Clés de contexte des conditionsAWS globales dans le Guide de l'utilisateur IAM. Pour plus d'informations sur les conditions spécifiques des services, consultez la rubrique Actions, ressources et clés de condition pour lesAWS services.

Note

Des conditions sont disponibles pour les autorisations gérées par le client et les types de ressources pris en charge pour les autorisationsAWS gérées.

Pour plus d'informations sur les conditions qui ne peuvent pas être utilisées avec des autorisations gérées par le client, consultezConsidérations relatives à l'utilisation des autorisations gérées par le client dans AWS RAM.

Types d'autorisations gérées

Lorsque vous créez un partage de ressources, vous choisissez une autorisation gérée à associer à chaque type de ressource que vous incluez dans le partage de ressources. AWSles autorisations gérées sont définies par le serviceAWS propriétaire des ressources et gérées parAWS RAM. Vous créez et gérez vos propres autorisations gérées par le client.

  • AWSautorisation gérée : une autorisation gérée par défaut est disponible pour chaque type de ressource pris enAWS RAM charge. L'autorisation gérée par défaut est celle utilisée pour un type de ressource, sauf si vous choisissez explicitement l'une des autorisations gérées supplémentaires. L'autorisation gérée par défaut est destinée à prendre en charge les scénarios clients les plus courants pour le partage de ressources du type spécifié. L'autorisation gérée par défaut permet aux responsables d'effectuer des actions spécifiques définies par le service pour le type de ressource. Par exemple, pour le type deec2:Subnet ressource Amazon VPC, l'autorisation gérée par défaut permet aux responsables d'effectuer les actions suivantes :

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Les noms des autorisationsAWS gérées par défaut utilisent le format suivant :AWSRAMDefaultPermissionShareableResourceType. Par exemple, pour le type deec2:Subnet ressource, le nom de l'autorisationAWS gérée par défaut estAWSRAMDefaultPermissionSubnet.

    Note

    L'autorisation gérée par défaut est distincte de la version par défaut d'une autorisation gérée. Toutes les autorisations gérées, qu'il s'agisse des autorisations par défaut ou de l'une des autorisations gérées supplémentaires prises en charge par certains types de ressources, sont des autorisations distinctes et complètes ayant des effets et des actions différents qui prennent en charge différents scénarios de partage, tels que l'accès en lecture-écriture ou en lecture seule. Toute autorisation gérée, qu'elle soit gérée par le clientAWS ou qu'elle soit gérée par le client, peut avoir plusieurs versions, dont l'une est la version par défaut pour cette autorisation.

    Par exemple, lorsque vous partagez un type de ressource qui prend en charge à la fois un accès total (ReadetWrite) une autorisation gérée en lecture seule, vous pouvez créer un partage de ressources pour l'administrateur doté de l'autorisation gérée d'accès complet. Vous pouvez ensuite créer un partage de ressources distinct pour d'autres développeurs à l'aide de l'autorisation gérée en lecture seule afin de respecter la pratique consistant à accorder le moindre privilège.

    Note

    Tous lesAWS services qui fonctionnent avecAWS RAM prennent en charge au moins une autorisation gérée par défaut. Vous pouvez consulter les autorisations disponibles pour chacuneService AWS sur la page de la bibliothèque des autorisations gérées. Cette page fournit des informations détaillées sur chaque autorisation gérée disponible, y compris les partages de ressources actuellement associés à l'autorisation et indique si le partage avec des responsables externes est autorisé, le cas échéant. Pour plus d'informations, veuillez consulter Affichage des autorisations gérées.

    Pour les services qui ne prennent pas en charge les autorisations gérées supplémentaires, lorsque vous créez un partage de ressources, appliqueAWS RAM automatiquement l'autorisation par défaut définie pour le type de ressource que vous choisissez. Si cette option est prise en charge, vous aurez également la possibilité de choisir Créer une autorisation gérée par le client sur la page Associer des autorisations gérées.

  • Autorisation gérée par le client : les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées et dans quelles conditions avec les ressources partagéesAWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la bonne pratique que l'on appelle principe du moindre privilège, en accordant uniquement les autorisations requises pour effectuer des tâches sur des ressources partagées.