Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour Amazon Security Lake
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources de Security Lake. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI), ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par Security Lake, y compris le format ARNs de chaque type de ressource, consultez la section Actions, ressources et clés de condition pour Amazon Security Lake dans la référence d'autorisation de service.
Rubriques
- Bonnes pratiques en matière de politiques
- Utilisation de la console Security Lake
- Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations
- Exemple : autoriser le compte de gestion de l'organisation à désigner et supprimer un administrateur délégué
- Exemple : autoriser les utilisateurs à évaluer les abonnés en fonction des balises
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Security Lake de votre compte. Ces actions peuvent entraîner des coûts pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l'identité, suivez les directives et recommandations suivantes :
-
Commencez avec AWS politiques gérées et évolution vers des autorisations avec le moindre privilège — Pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez AWS politiques gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant AWS des politiques gérées par le client spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez .AWS politiques gérées ou AWS politiques gérées pour les fonctions professionnelles dans le guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations IAM dans le guide de IAM l'utilisateur.
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service AWS, comme AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
-
Exiger une authentification multifactorielle (MFA) — Si vous avez un scénario qui nécessite IAM des utilisateurs ou un utilisateur root dans votre Compte AWS, activez MFA pour plus de sécurité. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Utilisation de la console Security Lake
Pour accéder à la console Amazon Security Lake, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher des informations détaillées sur les ressources Security Lake de votre Compte AWS. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) dotées de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.
Pour garantir que les utilisateurs et les rôles peuvent utiliser la console Security Lake, créez des IAM politiques qui leur fournissent un accès à la console. Pour plus d'informations, consultez la section IAMIdentités dans le Guide de IAM l'utilisateur.
Si vous créez une politique qui autorise les utilisateurs ou les rôles à utiliser la console Security Lake, assurez-vous qu'elle inclut les actions appropriées pour les ressources auxquelles ces utilisateurs ou rôles doivent accéder sur la console. Dans le cas contraire, ils ne pourront pas accéder à ces ressources ou les afficher sur la console.
Par exemple, pour ajouter une source personnalisée à l'aide de la console, un utilisateur doit être autorisé à effectuer les actions suivantes :
-
glue:CreateCrawler -
glue:CreateDatabase -
glue:CreateTable -
glue:StartCrawlerSchedule iam:GetRole-
iam:PutRolePolicy -
iam:DeleteRolePolicy -
iam:PassRole -
lakeformation:RegisterResource -
lakeformation:GrantPermissions -
s3:ListBucket -
s3:PutObject
Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI or AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Exemple : autoriser le compte de gestion de l'organisation à désigner et supprimer un administrateur délégué
Cet exemple montre comment vous pouvez créer une politique qui autorise un utilisateur d'un AWS Organizations compte de gestion pour désigner et supprimer l'administrateur délégué de Security Lake pour leur organisation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "securitylake:RegisterDataLakeDelegatedAdministrator", "securitylake:DeregisterDataLakeDelegatedAdministrator" ], "Resource": "arn:aws:securitylake:*:*:*" } ] }
Exemple : autoriser les utilisateurs à évaluer les abonnés en fonction des balises
Dans les politiques basées sur l'identité, vous pouvez utiliser des conditions pour contrôler l'accès aux ressources de Security Lake en fonction de balises. Cet exemple montre comment créer une politique qui permet à un utilisateur d'évaluer les abonnés à l'aide de la console Security Lake ou du Security LakeAPI. Toutefois, l'autorisation n'est accordée que si la valeur du Owner tag pour un abonné est le nom d'utilisateur de l'utilisateur.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReviewSubscriberDetailsIfOwner", "Effect": "Allow", "Action": "securitylake:GetSubscriber", "Resource": "arn:aws:securitylake:*:*:subscriber/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } }, { "Sid": "ListSubscribersIfOwner", "Effect": "Allow", "Action": "securitylake:ListSubscribers", "Resource": "*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
Dans cet exemple, si un utilisateur possédant le nom d'utilisateur richard-roe tente de consulter les informations relatives à des abonnés individuels, un abonné doit être étiqueté Owner=richard-roe ouowner=richard-roe. Dans le cas contraire, l’utilisateur se voit refuser l'accès. La clé de condition de balise Owner correspond à la fois à Owner et à owner, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations sur l'utilisation des clés de condition, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur. Pour plus d'informations sur le balisage des ressources de Security Lake, consultezMarquage des ressources d'Amazon Security Lake.
