Fonctionnement de AWS Resilience Hub avec IAM - AWS Hub de Résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement de AWS Resilience Hub avec IAM

Avant d'utiliser IAM pour gérer l'accès à Resilience Hub, assurez-vous de comprendre quelles sont les fonctions IAM qui peuvent être utilisées dans Resilience Hub. Pour avoir une vue globale de la façon dont Resilience Hub et autresAWSservices fonctionnent avec IAM, consultezAWSServices qui fonctionnent avec IAMdans leIAM User Guide.

AWS Resilience HubPolitiques basées sur l'identité

Avec les stratégies IAM basées sur l'identité, vous pouvez spécifier des actions et ressources autorisées ou refusées et les conditions dans lesquelles les actions sont autorisées ou refusées. Resilience Hub prend en charge des actions, ressources et clés de condition spécifiques. Pour plus d'informations sur tous les éléments que vous utilisez dans une stratégie JSON, consultez.Références des éléments de stratégie JSON IAMdans leIAM User Guide.

Actions

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Action d'une stratégie JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès à une stratégie. Les actions de stratégie possèdent généralement le même nom que l'opération d'API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n'ont pas d'opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d'actions dans une politique afin d'accorder l'autorisation d'exécuter les opérations associées.

Actions de stratégie dansAWS Resilience Hubutilisez le préfixe suivant avant l'action : resiliencehub:. Par exemple, pour accorder à une personne l'autorisation de créer une application, vous incluez leresiliencehub:CreateAppaction dans leur politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. AWS Resilience Hub définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [ "resiliencehub:action1", "resiliencehub:action2"

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot List, incluez l'action suivante :

"Action": "resiliencehub:List*"

Pour afficher une liste desAWS Resilience Hubactions, voir https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_Operations.html dans leRéférence de l'API AWS Resilience Hub.

Ressources

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est à dire, quel principal peut exécuter des actions, sur quelles ressources et dans quelles conditions.

L'élément de stratégie JSON Resource indique le ou les objets pour lesquels l'action s'applique. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de définir une ressource à l'aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d'indiquer que l'instruction s'applique à toutes les ressources.

"Resource": "*"

Par exemple, une application possède l'ARN suivant :

arn:${Partition}:resiliencehub:${Region}:${Account}:app/${appId}

Pour plus d'informations sur le format des ARN, consultez Noms ARN (Amazon Resource Name) et Espaces de noms du service AWS.

Vous ne pouvez pas exécuter certaines actions Resilience Hub, telles que celles qui permettent de créer des ressources, sur une ressource précise. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

Certaines actions d'API Resilience Hub nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez les ARN par des virgules, comme dans l'exemple suivant.

"Resource": [ "resource1", "resource2"

Clés de condition

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est à dire, quel principal peut exécuter des actions, sur quelles ressources et dans quelles conditions.

L'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu'une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l'instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d'espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement si elle est balisée avec son nom d'utilisateur IAM. Pour plus d'informations, consultez Éléments d'une politique IAM : variables et identifications dans le Guide de l'utilisateur IAM.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques à un service. Pour afficher toutes les clés de condition globales AWS, consultez Clés de contexte de condition globale AWS dans le Guide de l'utilisateur IAM.

Pour afficher une liste desAWS Resilience Hubclés de condition, consultez l'URL des conditions dans leRéférence de l'autorisation de service. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_Operations.html.

Stratégies basées sur les ressources

Resilience Hub ne prend pas en charge les stratégies basées sur les ressource.

Autorisation basée sur les balises Resilience Hub

Vous pouvez attacher des balises aux ressources du Resilience Hub, ou transmettre des balises dans une demande à Resilience Hub. Pour utiliser des balises pour contrôler l'accès, vous fournissez des informations sur les balises dans leÉlément de conditiond'une stratégie utilisant leaws:ResourceTag/key-name,aws:RequestTag/key-name, ouaws:TagKeysclés de condition

Pour obtenir un exemple de stratégie, veuillez consulter Exemple : Utiliser des balises pour contrôler l'utilisation des ressources.

Rôles Resilience Hub IAM

Un rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques.

Utilisation des informations d'identification temporaires avec Resilience Hu

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la fédération pour endosser un rôle IAM ou bien un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelantAWS STSOpérations API, telles queAssumeRoleouGetFederationToken.

AWS Resilience Hub prend en charge l'utilisation des informations d'identification temporaires.