Gestion de l'accès et des autorisations des ressources

Pour que vos ressources AWS puissent interagir les unes avec les autres, les accès et les autorisations appropriés doivent être configurés entre vos ressources. Cela nécessite la configuration des utilisateurs, des rôles et des politiques AWS Identity and Access Management (IAM) pour réaliser vos interactions de manière sécurisée. Pour en savoir plus, veuillez consulter la rubrique Contrôle de l'accès avec AWS Identity and Access Management dans le Guide de l'utilisateur AWS CloudFormation.

L'AWS Serverless Application Model (AWS SAM) propose deux options qui simplifient la gestion des accès et des autorisations pour vos applications sans serveur.

1. Connecteurs AWS SAM

2. Modèles de politique AWS SAM

Connecteurs AWS SAM

Les connecteurs permettent de fournir des autorisations entre deux ressources. Pour ce faire, vous devez décrire la manière dont ils doivent interagir les uns avec les autres dans votre modèle AWS SAM. Ils peuvent être définis à l'aide de l'attribut de ressource Connectors ou du type de ressource AWS::Serverless::Connector. Les connecteurs prennent en charge le provisionnement des accès Read et Write aux données et aux événements entre une combinaison de ressources AWS. Pour en savoir plus sur les connecteurs AWS SAM, consultez Gestion des autorisations de ressource avec des connecteurs AWS SAM.

Modèles de politique AWS SAM

Les modèles de politique AWS SAM sont des jeux d'autorisations prédéfinis que vous pouvez ajouter à vos modèles AWS SAM pour gérer l'accès et les autorisations entre vos fonctions AWS Lambda, vos machines d'état AWS Step Functions et les ressources avec lesquelles elles interagissent. Pour en savoir plus sur les modèles de politique AWS SAM, consultez Modèles de politique AWS SAM.

Mécanismes AWS CloudFormation

Les mécanismes AWS CloudFormation incluent la configuration des utilisateurs, des rôles et des politiques IAM pour gérer les autorisations entre vos ressources AWS. Pour en savoir plus, veuillez consulter la section Gestion des autorisations à l'aide de mécanismes AWS CloudFormation.

Bonnes pratiques

Dans l'ensemble de vos applications sans serveur, vous pouvez utiliser plusieurs méthodes pour configurer les autorisations entre vos ressources. Vous pouvez donc sélectionner la meilleure option pour chaque scénario et utiliser plusieurs options ensemble dans vos applications. Voici quelques éléments à prendre en compte lors du choix de l'option la mieux adaptée à votre cas :

• Les connecteurs et les modèles de politique AWS SAM réduisent tous deux l'expertise IAM requise pour permettre les interactions sécurisées entre vos ressources AWS. Utilisez des connecteurs et des modèles de politique lorsque cela est possible.

• Les connecteurs AWS SAM fournissent une syntaxe abrégée simple et intuitive pour définir les autorisations dans vos modèles AWS SAM et nécessitent le moins d'expertise IAM. Lorsque les connecteurs et les modèles de politique AWS SAM sont pris en charge, utilisez les connecteurs AWS SAM.

• Les connecteurs AWS SAM peuvent fournir des accès Read et Write aux données et aux événements entre les ressources AWS SAM source et de destination prises en charge. Pour afficher la liste des ressources prises en charge, consultez Référence de connecteur AWS SAM. Utilisez les connecteurs AWS SAM lorsqu'ils sont pris en charge.

• Alors que les modèles de politique AWS SAM sont limités aux autorisations entre vos fonctions Lambda, vos machines d'état Step Functions et les ressources AWS avec lesquelles elles interagissent, les modèles de politique prennent en charge toutes les opérations CRUD. Utilisez les modèles de politique AWS SAM lorsqu'ils sont pris en charge et lorsqu'un modèle de politique AWS SAM pour votre scénario est disponible. Pour afficher la liste des modèles de politique disponibles, consultez Modèles de politique AWS SAM.

• Pour tous les autres scénarios, ou lorsque la précision est requise, utilisez des mécanismes AWS CloudFormation.