Gestion des identités et des accès pour AWS Server Migration Service - AWS Server Migration Service

Mise à jour produit

Il est recommandé :AWSApplication Migration Service(AWSMGN) en tant que principal service de migration pour lift-and-shift migrations. SiAWSMGN n'est pas disponible dans unAWSRégion, vous pouvez utiliser leAWS SMSAPIjusqu'en mars 2023.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des identités et des accès pour AWS Server Migration Service

AWS Identity and Access Management (IAM) est un AWS service qui aide un administrateur à contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliserAWSAWS. IAM vous permet de créer des utilisateurs et des groupes sous votreAWS. Vous contrôlez les autorisations dont disposent les utilisateurs pour effectuer des tâches à l'aide deAWSAWS. Vous pouvez utiliser IAM sans frais supplémentaires.

Par défaut, les utilisateurs IAM ne disposent pas d'autorisations pourAWS Server Migration Service(AWS SMS) ressources et opérations. Pour permettre aux utilisateurs IAM de gérerAWS SMS, vous devez créer une stratégie IAM qui leur donne explicitement les autorisations et attacher la stratégie aux utilisateurs ou groupes IAM qui requièrent ces autorisations.

Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées. Pour de plus amples informations, veuillez consulterStratégies et autorisationsdans leIAM User Guideguide.

Structure d'une politique

Une politique IAM est un document JSON qui se compose d'une ou de plusieurs déclarations. Chaque déclaration est structurée comme suit :

{ "Statement": [ { "Effect": "effect", "Action": "action", "Resource": "arn", "Condition": { "condition": { "key":"value" } } } ] }

Une déclaration se compose de différents éléments :

  • Effect : Effect peut avoir la valeurAllowouDeny. Comme, par défaut, les utilisateurs IAM n'ont pas la permission d'utiliser les ressources et les actions d'API, toutes les demandes sont refusées. Une autorisation explicite remplace l'autorisation par défaut. Un refus explicite remplace toute autorisation.

  • Action : L'action est la spécificitéAWS SMSAction d'API pour laquelle vous accordez ou refusez l'autorisation.

  • Ressource: Resource affectée par l'action. Pour AWS SMS, vous devez spécifier « * » comme ressource.

  • Condition : Les conditions sont facultatives. Elles permettent de contrôler à quel moment votre politique est effective.

Exemples de politiques

Dans une déclaration de politique IAM, vous pouvez spécifier une action d'API à partir de n'importe quel service prenant en charge IAM. Pour AWS SMS, utilisez le préfixe suivant avec le nom de l'action d'API : sms: comme suit.

"Action": "sms:UpdateReplicationJob"

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit.

{ "Statement":[ { "Effect": "Allow", "Action": ["sms:action1", "sms:action2"], "Resource": "*" } ] }

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques. Par exemple, vous pouvez spécifier toutes les actions d'API AWS SMS dont le nom commence par le mot « Get » comme suit.

{ "Statement":[ { "Effect": "Allow", "Action": "sms:Get*", "Resource": "*" } ] }

Pour spécifier toutes les actions d'API AWS SMS, utilisez le caractère générique * comme suit.

{ "Statement":[ { "Effect": "Allow", "Action": "sms:*", "Resource": "*" } ] }

Pour empêcher les utilisateurs d'activer le lancement automatique après la réplication, utilisez l'instruction suivante. Il ne suffit pas d'omettresms:LaunchAppdans la liste des actions autorisées, car avec le lancement automatique, les utilisateurs n'appellent pasLaunchAppdirectement.

{ "Statement":[ { "Effect": "Deny", "Action": "sms:LaunchApp", "Resource": "*" } ] }

PrédéfiniAWSpolitiques gérées

Les stratégies gérées créées par AWS octroient les autorisations requises pour les cas d'utilisation courants. Vous pouvez attacher ces stratégies à vos utilisateurs IAM, en fonction de l'accès àAWSdont ils ont besoin.