Gestion des autorisations dans AWS RAM - AWS Resource Access Manager
Comment fonctionnent les autorisations géréesTypes d'autorisations gérées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des autorisations dans AWS RAM

Dans AWS RAM, il existe deux types d'autorisations gérées : les autorisations AWS gérées et les autorisations gérées par le client.

Les autorisations gérées définissent la manière dont un consommateur peut agir sur les ressources d'un partage de ressources. Lorsque vous créez un partage de ressources, vous devez spécifier l'autorisation gérée à utiliser pour chaque type de ressource inclus dans le partage de ressources. Le modèle de stratégie inclus dans l'autorisation gérée contient tout le nécessaire pour une politique basée sur les ressources, à l'exception du principal et de la ressource. Le nom Amazon Resource Name (ARN) de la ressource et l'ARN des principaux associés au partage de ressources complètent les éléments d'une politique basée sur les ressources. AWS RAM rédige ensuite la politique basée sur les ressources qu'il attache à toutes les ressources de ce partage de ressources.

Chaque autorisation gérée peut avoir une ou plusieurs versions. Une version est désignée comme version par défaut pour cette autorisation gérée. AWS Met parfois à jour une autorisation AWS gérée pour un type de ressource en créant une nouvelle version et en désignant cette nouvelle version comme version par défaut. Vous pouvez également mettre à jour les autorisations gérées par vos clients en créant de nouvelles versions. Les autorisations gérées déjà associées à un partage de ressources ne sont pas automatiquement mises à jour. La AWS RAM console indique quand une nouvelle version par défaut est disponible, et vous pouvez consulter les modifications apportées à la nouvelle version par défaut par rapport à la précédente.

Note

Nous vous recommandons de passer à la nouvelle version de l'autorisation AWS gérée dès que possible. Ces mises à jour ajoutent généralement la prise en charge des nouvelles ressources ou des mises à jour Services AWS qui peuvent partager des types de ressources supplémentaires à l'aide de AWS RAM. Une nouvelle version par défaut peut également corriger les failles de sécurité.

Important

Vous ne pouvez associer que la version par défaut de l'autorisation gérée à un nouveau partage de ressources.

Vous pouvez récupérer la liste des autorisations gérées disponibles à tout moment. Pour de plus amples informations, veuillez consulter Afficher les autorisations gérées.

Rubriques

Comment fonctionnent les autorisations gérées

Pour une présentation rapide, regardez la vidéo suivante qui montre comment les autorisations gérées vous permettent d'appliquer la meilleure pratique de l'accès avec le moindre privilège à vos AWS ressources.

Cette vidéo montre comment créer et associer des autorisations gérées par les clients conformément à la meilleure pratique du moindre privilège. Pour de plus amples informations, veuillez consulter Création et utilisation d'autorisations gérées par le client dans AWS RAM.

Lorsque vous créez un partage de ressources, vous associez une autorisation AWS gérée à chaque type de ressource que vous souhaitez partager. Si l'autorisation gérée comporte plusieurs versions, le nouveau partage de ressources utilise toujours la version désignée par défaut.

Après avoir créé le partage de ressources, AWS RAM utilise l'autorisation gérée pour générer une politique basée sur les ressources attachée à chaque ressource partagée.

Le modèle de politique d'une autorisation gérée spécifie les éléments suivants :

Effet

Indique s'il faut Allow ou Deny non obtenir l'autorisation principale d'effectuer une opération sur une ressource partagée. Pour une autorisation gérée, l'effet est toujours le mêmeAllow. Pour plus d'informations, voir Effect dans le guide de l'utilisateur IAM.

Action

Liste des opérations que le principal est autorisé à effectuer. Il peut s'agir d'une action dans le AWS Command Line Interface (AWS CLI) AWS Management Console ou d'une opération dans l' AWS API. Les actions sont définies par l' AWS autorisation. Pour plus d'informations, consultez la section Action du guide de l'utilisateur IAM.

Condition

Quand et comment un directeur peut interagir avec une ressource dans un partage de ressources. Les conditions ajoutent un niveau de sécurité supplémentaire à vos ressources partagées. Utilisez-les pour limiter l'accès des actions sensibles à vos ressources partagées. Par exemple, vous pouvez inclure des conditions exigeant que les actions proviennent d'une plage d'adresses IP d'entreprise spécifique ou que les actions soient effectuées par des utilisateurs authentifiés par l'authentification multifactorielle. Pour plus d'informations sur les conditions, voir les clés contextuelles des conditions AWS globales dans le guide de l'utilisateur IAM. Pour plus d'informations sur les conditions spécifiques aux services, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation de service.

Note

Des conditions sont disponibles pour les autorisations gérées par le client et les types de ressources pris en charge pour les autorisations AWS gérées.

Pour plus d'informations sur les conditions exclues de l'utilisation avec les autorisations gérées par le client, consultezConsidérations relatives à l'utilisation des autorisations gérées par le client dans AWS RAM.

Types d'autorisations gérées

Lorsque vous créez un partage de ressources, vous choisissez une autorisation gérée à associer à chaque type de ressource que vous incluez dans le partage de ressources. AWS les autorisations gérées sont définies par le service AWS propriétaire des ressources et gérées par. AWS RAM Vous créez et gérez vos propres autorisations gérées par les clients.

  • AWS autorisation gérée : une autorisation gérée par défaut est disponible pour chaque type de ressource pris en AWS RAM charge. L'autorisation gérée par défaut est celle utilisée pour un type de ressource, sauf si vous choisissez explicitement l'une des autorisations gérées supplémentaires. L'autorisation gérée par défaut est destinée à prendre en charge les scénarios clients les plus courants pour le partage de ressources du type spécifié. L'autorisation gérée par défaut permet aux principaux d'effectuer des actions spécifiques définies par le service pour le type de ressource. Par exemple, pour le type de ec2:Subnet ressource Amazon VPC, l'autorisation gérée par défaut permet aux principaux d'effectuer les actions suivantes :

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Les noms des autorisations AWS gérées par défaut utilisent le format suivant :AWSRAMDefaultPermissionShareableResourceType. Par exemple, pour le type de ec2:Subnet ressource, le nom de l'autorisation AWS gérée par défaut estAWSRAMDefaultPermissionSubnet.

    Note

    L'autorisation gérée par défaut est distincte de la version par défaut d'une autorisation gérée. Toutes les autorisations gérées, qu'il s'agisse d'autorisations gérées par défaut ou de l'une des autorisations gérées supplémentaires prises en charge par certains types de ressources, sont des autorisations complètes distinctes avec des effets et des actions différents qui prennent en charge différents scénarios de partage, tels que l'accès en lecture-écriture ou en lecture seule. Toute autorisation gérée, qu'elle soit gérée par le client AWS ou par le client, peut avoir plusieurs versions, dont l'une est la version par défaut pour cette autorisation.

    Par exemple, lorsque vous partagez un type de ressource qui prend en charge à la fois une autorisation d'accès complet (ReadetWrite) gérée et une autorisation gérée en lecture seule, vous pouvez créer un partage de ressources pour l'administrateur doté de l'autorisation gérée d'accès complet. Vous pouvez ensuite créer un partage de ressources distinct pour les autres développeurs à l'aide de l'autorisation gérée en lecture seule afin de suivre la pratique consistant à accorder le moindre privilège.

    Note

    Tous les AWS services compatibles AWS RAM prennent en charge au moins une autorisation gérée par défaut. Vous pouvez consulter les autorisations disponibles pour chacune d'entre elles Service AWS sur la page Bibliothèque d'autorisations gérées. Cette page fournit des détails sur chaque autorisation gérée disponible, y compris les partages de ressources actuellement associés à l'autorisation et indique si le partage avec des principaux externes est autorisé, le cas échéant. Pour de plus amples informations, veuillez consulter Afficher les autorisations gérées.

    Pour les services qui ne prennent pas en charge les autorisations gérées supplémentaires, lorsque vous créez un partage de ressources, l'autorisation par défaut définie pour le type de ressource que vous choisissez s'applique AWS RAM automatiquement. Si cette option est prise en charge, vous aurez également la possibilité de choisir Créer une autorisation gérée par le client sur la page Associer les autorisations gérées.

  • Autorisation gérée par le client : les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées dans quelles conditions avec des ressources partagées AWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations requises pour effectuer des tâches sur des ressources partagées.