Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) (préfixe de service :iam) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Identity and Access Management (IAM)
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AddClientIDToOpenIDConnectProvider | Accorde l'autorisation d'ajouter un nouvel ID client (public) à la liste des identifiants enregistrés pour la ressource de fournisseur OpenID Connect (OIDC) IAM spécifiée | Écriture | |||
| AddRoleToInstanceProfile | Accorde l'autorisation d'ajouter un rôle IAM au profil d'instance spécifié | Écriture |
iam:PassRole |
||
| AddUserToGroup | Accorde l'autorisation d'ajouter un utilisateur IAM au groupe IAM spécifié | Écriture | |||
| AttachGroupPolicy | Accorde l'autorisation d'attacher une politique gérée au groupe IAM spécifié | Gestion des autorisations | |||
| AttachRolePolicy | Accorde l'autorisation d'attacher une politique gérée au rôle IAM spécifié | Gestion des autorisations | |||
| AttachUserPolicy | Accorde l'autorisation d'attacher une politique gérée à l'utilisateur IAM spécifié | Gestion des autorisations | |||
| ChangePassword | Accorde l'autorisation à l'utilisateur IAM de modifier son propre mot de passe | Écrire | |||
| CreateAccessKey | Accorde l'autorisation de créer une clé d'accès et une clé d'accès secrète pour l'utilisateur IAM spécifié | Écrire | |||
| CreateAccountAlias | Accorde l'autorisation de créer un alias pour votre Compte AWS | Écrire | |||
| CreateGroup | Accorde l'autorisation de créer un groupe | Écriture | |||
| CreateInstanceProfile | Accorde l'autorisation de créer un profil d'instance | Écriture | |||
| CreateLoginProfile | Accorde l'autorisation de créer un mot de passe pour l'utilisateur IAM spécifié | Écriture | |||
| CreateOpenIDConnectProvider | Accorde l'autorisation de créer une ressource IAM qui décrit un fournisseur d'identité (IdP) prenant en charge OpenID Connect (OIDC) | Écriture | |||
| CreatePolicy | Accorde l'autorisation de créer une politique gérée | Gestion des autorisations | |||
| CreatePolicyVersion | Accorde l'autorisation de créer une nouvelle version de la politique gérée spécifiée | Gestion des autorisations | |||
| CreateRole | Accorde l'autorisation de créer un rôle | Écriture | |||
| CreateSAMLProvider | Accorde l'autorisation de créer une ressource IAM qui décrit un fournisseur d'identité (IdP) prenant en charge SAML 2.0 | Écrire | |||
| CreateServiceLinkedRole | Accorde l'autorisation de créer un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom | Écrire | |||
| CreateServiceSpecificCredential | Accorde l'autorisation de créer des informations d'identification spécifiques au service pour un utilisateur IAM | Écriture | |||
| CreateUser | Accorde l'autorisation de créer un utilisateur IAM | Écriture | |||
| CreateVirtualMFADevice | Accorde l'autorisation de créer un dispositif MFA virtuel | Écriture | |||
| DeactivateMFADevice | Accorde l'autorisation de désactiver le dispositif MFA spécifié et de supprimer son association à l'utilisateur IAM pour lequel il a été initialement activé | Écriture | |||
| DeleteAccessKey | Accorde l'autorisation de supprimer la paire de clés d'accès qui est associée à l'utilisateur IAM spécifié | Écrire | |||
| DeleteAccountAlias | Accorde l'autorisation de supprimer l' Compte AWS alias spécifié | Écrire | |||
| DeleteAccountPasswordPolicy | Accorde l'autorisation de supprimer la politique de mot de passe pour Compte AWS | Gestion des autorisations | |||
| DeleteCloudFrontPublicKey | Autorise la suppression d'une clé CloudFront publique existante | Écrire | |||
| DeleteGroup | Accorde l'autorisation de supprimer le groupe IAM spécifié | Écriture | |||
| DeleteGroupPolicy | Accorde l'autorisation de supprimer la politique en ligne spécifiée de son groupe | Gestion des autorisations | |||
| DeleteInstanceProfile | Accorde l'autorisation de supprimer le profil d'instance spécifié | Écriture | |||
| DeleteLoginProfile | Accorde l'autorisation de supprimer le mot de passe pour l'utilisateur IAM spécifié | Écriture | |||
| DeleteOpenIDConnectProvider | Accorde l'autorisation de supprimer un objet de ressource de fournisseur d'identité (IdP) OpenID Connect dans IAM | Écriture | |||
| DeletePolicy | Accorde l'autorisation de supprimer la politique gérée spécifiée et de la retirer de toutes les entités IAM (utilisateurs, groupes ou rôles) auxquelles elle est attachée | Gestion des autorisations | |||
| DeletePolicyVersion | Accorde l'autorisation de supprimer une version de la politique gérée spécifiée | Gestion des autorisations | |||
| DeleteRole | Accorde l'autorisation de supprimer le rôle spécifié | Écriture | |||
| DeleteRolePermissionsBoundary | Accorde l'autorisation de supprimer la limite d'autorisations d'un rôle | Gestion des autorisations | |||
| DeleteRolePolicy | Accorde l'autorisation de supprimer la politique en ligne spécifiée du rôle spécifié | Gestion des autorisations | |||
| DeleteSAMLProvider | Accorde l'autorisation de supprimer une ressource de fournisseur SAML dans IAM | Écriture | |||
| DeleteSSHPublicKey | Accorde l'autorisation de supprimer la clé publique SSH spécifiée | Écriture | |||
| DeleteServerCertificate | Accorde l'autorisation de supprimer le certificat de serveur spécifié | Écrire | |||
| DeleteServiceLinkedRole | Accorde l'autorisation de supprimer un rôle IAM lié à un AWS service spécifique, si le service ne l'utilise plus | Écrire | |||
| DeleteServiceSpecificCredential | Accorde l'autorisation de supprimer les informations d'identification spécifiques au service spécifiées pour un utilisateur IAM | Écriture | |||
| DeleteSigningCertificate | Accorde l'autorisation de supprimer un certificat de signature qui est associé à l'utilisateur IAM spécifié | Écriture | |||
| DeleteUser | Accorde l'autorisation de supprimer l'utilisateur IAM spécifié | Écriture | |||
| DeleteUserPermissionsBoundary | Accorde l'autorisation de supprimer la limite d'autorisations de l'utilisateur IAM spécifié | Gestion des autorisations | |||
| DeleteUserPolicy | Accorde l'autorisation de supprimer la politique en ligne spécifiée d'un utilisateur IAM | Gestion des autorisations | |||
| DeleteVirtualMFADevice | Accorde l'autorisation de supprimer un dispositif MFA virtuel | Écriture | |||
| DetachGroupPolicy | Accorde l'autorisation de détacher une politique gérée du groupe IAM spécifié | Gestion des autorisations | |||
| DetachRolePolicy | Accorde l'autorisation de détacher une politique gérée du rôle spécifié | Gestion des autorisations | |||
| DetachUserPolicy | Accorde l'autorisation de détacher une politique gérée de l'utilisateur IAM spécifié | Gestion des autorisations | |||
| EnableMFADevice | Accorde l'autorisation d'activer un dispositif MFA et de l'associer à l'utilisateur IAM spécifié | Écrire | |||
|
iam:FIDO-FIPS-140-2-certification |
|||||
| GenerateCredentialReport | Accorde l'autorisation de générer un rapport d'identification pour le Compte AWS | Lecture | |||
| GenerateOrganizationsAccessReport | Accorde l'autorisation de générer un rapport d'accès pour une entité AWS Organizations | Lecture |
organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy |
||
| GenerateServiceLastAccessedDetails | Accorde l'autorisation de générer un rapport sur les données des services consultés en dernier pour une ressource IAM | Lecture | |||
| GetAccessKeyLastUsed | Accorde l'autorisation de récupérer des informations sur le moment où la clé d'accès spécifiée a été utilisée pour la dernière fois | Lecture | |||
| GetAccountAuthorizationDetails | Accorde l'autorisation de récupérer des informations sur tous les utilisateurs, groupes, rôles et politiques IAM de votre entreprise Compte AWS, y compris leurs relations les uns avec les autres | Lecture | |||
| GetAccountEmailAddress | Accorde l'autorisation de récupérer l’adresse e-mail associée au compte | Lecture | |||
| GetAccountName | Accorde l'autorisation de récupérer le nom de compte associé au compte | Lecture | |||
| GetAccountPasswordPolicy | Accorde l'autorisation de récupérer la politique de mot de passe pour Compte AWS | Lecture | |||
| GetAccountSummary | Accorde l'autorisation de récupérer des informations sur l'utilisation des entités IAM et les quotas IAM dans le Compte AWS | Liste | |||
| GetCloudFrontPublicKey | Accorde l'autorisation de récupérer des informations sur la clé CloudFront publique spécifiée | Lecture | |||
| GetContextKeysForCustomPolicy | Accorde l'autorisation de récupérer une liste de toutes les clés de contexte qui sont référencées dans la politique spécifiée | Lecture | |||
| GetContextKeysForPrincipalPolicy | Accorde l'autorisation de récupérer une liste de toutes les clés de contexte qui sont référencées dans toutes les stratégies IAM attachées à l'identité IAM spécifiée (utilisateur, groupe ou rôle) | Lecture | |||
| GetCredentialReport | Accorde l'autorisation de récupérer un rapport d'identification pour le Compte AWS | Lecture | |||
| GetGroup | Accorde l'autorisation de récupérer une liste d'utilisateurs IAM dans le groupe IAM spécifié | Lecture | |||
| GetGroupPolicy | Accorde l'autorisation de récupérer un document de politique en ligne qui est intégré au groupe IAM spécifié | Lecture | |||
| GetInstanceProfile | Accorde l'autorisation de récupérer des informations sur le profil d'instance spécifié, y compris le chemin, le GUID, l'ARN et le rôle du profil d'instance | Lecture | |||
| GetLoginProfile | Accorde l'autorisation de récupérer la date de création du nom d'utilisateur et du mot de passe pour l'utilisateur IAM spécifié | Liste | |||
| GetMFADevice | Accorde l'autorisation de récupérer des informations sur un dispositif MFA pour l'utilisateur spécifié | Lecture | |||
| GetOpenIDConnectProvider | Accorde l'autorisation de récupérer des informations sur la ressource de fournisseur OpenID Connect (OIDC) spécifié dans IAM | Lecture | |||
| GetOrganizationsAccessReport | Accorde l'autorisation de récupérer un rapport d'accès aux AWS Organizations | Lecture | |||
| GetPolicy | Accorde l'autorisation de récupérer des informations sur la politique gérée spécifiée, y compris la version par défaut de la politique et le nombre total d'entités IAM auxquelles la politique est attachée | Lecture | |||
| GetPolicyVersion | Accorde l'autorisation de récupérer des informations sur une version de la politique gérée spécifiée, notamment le document de politique | Lecture | |||
| GetRole | Accorde l'autorisation de récupérer des informations sur le rôle spécifié, y compris le chemin, le GUID et l'ARN, ainsi que la politique de confiance du rôle | Lecture | |||
| GetRolePolicy | Accorde l'autorisation de récupérer un document de politique en ligne qui est intégré au rôle IAM spécifié | Lecture | |||
| GetSAMLProvider | Accorde l'autorisation de récupérer le métadocument de fournisseur SAML qui a été téléchargé lorsque l'objet de ressource de fournisseur SAML IAM a été créé ou mis à jour | Lecture | |||
| GetSSHPublicKey | Accorde l'autorisation de récupérer la clé publique SSH spécifiée, y compris les métadonnées relatives à la clé | Lecture | |||
| GetServerCertificate | Accorde l'autorisation de récupérer des informations sur le certificat de serveur spécifié stocké dans IAM | Lecture | |||
| GetServiceLastAccessedDetails | Accorde l'autorisation de récupérer des informations sur le rapport sur les données des services consultés en dernier | Lecture | |||
| GetServiceLastAccessedDetailsWithEntities | Accorde l'autorisation de récupérer des informations sur les entités à partir du rapport sur les données des services consultés en dernier | Lecture | |||
| GetServiceLinkedRoleDeletionStatus | Accorde l'autorisation de récupérer un statut de suppression du rôle lié à un service IAM | Lecture | |||
| GetUser | Accorde l'autorisation de récupérer des informations sur l'utilisateur IAM spécifié, notamment la date de création, le chemin, l'ID unique et l'ARN de l'utilisateur | Lecture | |||
| GetUserPolicy | Accorde l'autorisation de récupérer un document de politique en ligne qui est intégré à l'utilisateur IAM spécifié | Lecture | |||
| ListAccessKeys | Accorde l'autorisation de répertorier les informations sur les ID de clé d'accès associés à l'utilisateur IAM spécifié | Liste | |||
| ListAccountAliases | Accorde l'autorisation de répertorier l'alias de compte associé au Compte AWS | Liste | |||
| ListAttachedGroupPolicies | Accorde l'autorisation de répertorier toutes les stratégies gérées qui sont attachées au groupe IAM spécifié | Liste | |||
| ListAttachedRolePolicies | Accorde l'autorisation de répertorier toutes les stratégies gérées qui sont attachées au rôle IAM spécifié | Liste | |||
| ListAttachedUserPolicies | Accorde l'autorisation de répertorier toutes les stratégies gérées qui sont attachées à l'utilisateur IAM spécifié | Liste | |||
| ListCloudFrontPublicKeys | Permet de répertorier toutes les clés CloudFront publiques actuelles du compte | Liste | |||
| ListEntitiesForPolicy | Accorde l'autorisation de répertorier toutes les identités IAM auxquelles la politique gérée spécifiée est attachée | Liste | |||
| ListGroupPolicies | Accorde l'autorisation de répertorier les noms des stratégies en ligne qui sont intégrées au groupe IAM spécifié | Liste | |||
| ListGroups | Accorde l'autorisation de répertorier les groupes IAM qui présentent le préfixe de chemin spécifié | Liste | |||
| ListGroupsForUser | Accorde l'autorisation de répertorier les groupes IAM auxquels appartient l'utilisateur IAM spécifié | Liste | |||
| ListInstanceProfileTags | Accorde l'autorisation de répertorier les balises qui sont attachées au profil d'instance spécifié | Liste | |||
| ListInstanceProfiles | Accorde l'autorisation de répertorier les profils d'instance qui présentent le préfixe de chemin spécifié | Liste | |||
| ListInstanceProfilesForRole | Accorde l'autorisation de répertorier les profils d'instance ayant le rôle IAM associé spécifié | Liste | |||
| ListMFADeviceTags | Accorde l'autorisation de répertorier les balises qui sont attachées au dispositif MFA virtuel spécifié | Liste | |||
| ListMFADevices | Accorde l'autorisation de répertorier les dispositifs MFA pour un utilisateur IAM | Liste | |||
| ListOpenIDConnectProviderTags | Accorde l'autorisation de répertorier les balises qui sont attachées au fournisseur OpenID Connect spécifié | Liste | |||
| ListOpenIDConnectProviders | Accorde l'autorisation de répertorier les informations relatives aux objets de ressources du fournisseur IAM OpenID Connect (OIDC) définis dans le Compte AWS | Liste | |||
| ListPolicies | Accorde l'autorisation de répertorier toutes les stratégies gérées | Liste | |||
| ListPoliciesGrantingServiceAccess | Accorde l'autorisation de répertorier les informations sur les stratégies qui accordent à une entité l'accès à un service spécifique | Liste | |||
| ListPolicyTags | Accorde l'autorisation de répertorier les balises qui sont attachées à la politique gérée spécifiée | Liste | |||
| ListPolicyVersions | Accorde l'autorisation de répertorier les informations sur les versions de la politique gérée spécifiée, y compris la version qui est actuellement définie comme version par défaut de la politique | Liste | |||
| ListRolePolicies | Accorde l'autorisation de répertorier les noms des stratégies en ligne qui sont intégrées au rôle IAM spécifié | Liste | |||
| ListRoleTags | Accorde l'autorisation de répertorier les balises qui sont attachées au rôle IAM spécifié | Liste | |||
| ListRoles | Accorde l'autorisation de répertorier les rôles IAM qui présentent le préfixe de chemin spécifié | Liste | |||
| ListSAMLProviderTags | Accorde l'autorisation de répertorier les balises qui sont attachées au fournisseur SAML spécifié | Liste | |||
| ListSAMLProviders | Accorde l'autorisation de répertorier les ressources de fournisseur SAML dans IAM | Liste | |||
| ListSSHPublicKeys | Accorde l'autorisation de répertorier les informations sur les clés publiques SSH associées à l'utilisateur IAM spécifié | Liste | |||
| ListSTSRegionalEndpointsStatus | Accorde l'autorisation d'énumérer le statut de tous les points de terminaison STS régionaux actifs | Liste | |||
| ListServerCertificateTags | Accorde l'autorisation de répertorier les balises qui sont attachées au certificat de serveur spécifié | Liste | |||
| ListServerCertificates | Accorde l'autorisation de répertorier les certificats de serveur qui présentent le préfixe de chemin spécifié | Liste | |||
| ListServiceSpecificCredentials | Accorde l'autorisation de répertorier les informations d'identification spécifiques au service qui sont associées à l'utilisateur IAM spécifié | Liste | |||
| ListSigningCertificates | Accorde l'autorisation de répertorier les informations sur les certificats de signature qui sont associés à l'utilisateur IAM spécifié | Liste | |||
| ListUserPolicies | Accorde l'autorisation de répertorier les noms des stratégies en ligne qui sont intégrées à l'utilisateur IAM spécifié | Liste | |||
| ListUserTags | Accorde l'autorisation de répertorier les balises qui sont attachées à l'utilisateur IAM spécifié | Liste | |||
| ListUsers | Accorde l'autorisation de répertorier les utilisateurs IAM qui présentent le préfixe de chemin spécifié | Liste | |||
| ListVirtualMFADevices | Accorde l'autorisation de répertorier les dispositifs MFA virtuels par statut d'affectation | Liste | |||
| PassRole [autorisation uniquement] | Accorde l'autorisation de transmettre un rôle à un service | Écriture | |||
| PutGroupPolicy | Accorde l'autorisation de créer ou de mettre à jour un document de politique en ligne qui est intégré au groupe IAM spécifié | Gestion des autorisations | |||
| PutRolePermissionsBoundary | Accorde l'autorisation de définir une politique gérée en tant que limite d'autorisations pour un rôle | Gestion des autorisations | |||
| PutRolePolicy | Accorde l'autorisation de créer ou de mettre à jour un document de politique en ligne qui est intégré au rôle IAM spécifié | Gestion des autorisations | |||
| PutUserPermissionsBoundary | Accorde l'autorisation de définir une politique gérée en tant que limite d'autorisations pour un utilisateur IAM | Gestion des autorisations | |||
| PutUserPolicy | Accorde l'autorisation de créer ou de mettre à jour un document de politique en ligne qui est intégré à l'utilisateur IAM spécifié | Gestion des autorisations | |||
| RemoveClientIDFromOpenIDConnectProvider | Accorde l'autorisation de supprimer l'ID client (public) de la liste d'ID client dans la ressource de fournisseur OpenID Connect (OIDC) IAM spécifiée | Écriture | |||
| RemoveRoleFromInstanceProfile | Accorde l'autorisation de supprimer un rôle IAM du profil d'instance EC2 spécifié | Écriture | |||
| RemoveUserFromGroup | Accorde l'autorisation de supprimer un utilisateur IAM du groupe spécifié | Écriture | |||
| ResetServiceSpecificCredential | Accorde l'autorisation de réinitialiser le mot de passe pour les informations d'identification spécifiques au service existantes pour un utilisateur IAM | Écriture | |||
| ResyncMFADevice | Accorde l'autorisation de synchroniser le dispositif MFA spécifié avec son entité IAM (utilisateur ou rôle) | Écriture | |||
| SetDefaultPolicyVersion | Accorde l'autorisation de définir la version de la politique spécifiée en tant que version par défaut de la politique | Gestion des autorisations | |||
| SetSTSRegionalEndpointStatus | Accorde l'autorisation d'activer ou de désactiver un point de terminaison régional STS | Écrire | |||
| SetSecurityTokenServicePreferences | Accorde l'autorisation de définir la version de jeton de point de terminaison global STS | Écriture | |||
| SimulateCustomPolicy | Accorde l'autorisation d'effectuer une simulation pour vérifier si une politique basée sur l'identité ou une politique basée sur les ressources fournit des autorisations pour des opérations d'API et des ressources spécifiques | Lecture | |||
| SimulatePrincipalPolicy | Accorde l'autorisation d'effectuer une simulation pour vérifier si une politique basée sur l'identité qui est attachée à une entité IAM (utilisateur ou rôle) fournit des autorisations pour des opérations d'API et de ressources spécifiques | Lecture | |||
| TagInstanceProfile | Accorde l'autorisation d'ajouter des balises à un profil d'instance | Balisage | |||
| TagMFADevice | Accorde l'autorisation d'ajouter des balises à un dispositif MFA virtuel | Balisage | |||
| TagOpenIDConnectProvider | Accorde l'autorisation d'ajouter des balises à un fournisseur OpenID Connect | Balisage | |||
| TagPolicy | Accorde l'autorisation d'ajouter des balises à une politique gérée | Balisage | |||
| TagRole | Accorde l'autorisation d'ajouter des balises à un rôle IAM | Balisage | |||
| TagSAMLProvider | Accorde l'autorisation d'ajouter des balises à un fournisseur SAML | Balisage | |||
| TagServerCertificate | Accorde l'autorisation d'ajouter des balises à un certificat de serveur | Balisage | |||
| TagUser | Accorde l'autorisation d'ajouter des balises à un utilisateur IAM | Balisage | |||
| UntagInstanceProfile | Accorde l'autorisation de supprimer les balises spécifiées du profil d'instance | Balisage | |||
| UntagMFADevice | Accorde l'autorisation de supprimer les balises spécifiées du dispositif MFA virtuel | Balisage | |||
| UntagOpenIDConnectProvider | Accorde l'autorisation de supprimer les balises spécifiées du fournisseur OpenID Connect | Balisage | |||
| UntagPolicy | Accorde l'autorisation de supprimer les balises spécifiées de la politique gérée | Balisage | |||
| UntagRole | Accorde l'autorisation de supprimer les balises spécifiées du rôle | Balisage | |||
| UntagSAMLProvider | Accorde l'autorisation de supprimer les balises spécifiées du fournisseur SAML | Balisage | |||
| UntagServerCertificate | Accorde l'autorisation de supprimer les balises spécifiées du certificat de serveur | Balisage | |||
| UntagUser | Accorde l'autorisation de supprimer les balises spécifiées de l'utilisateur | Balisage | |||
| UpdateAccessKey | Accorde l'autorisation de mettre à jour le statut de la clé d'accès spécifiée comme Actif ou Inactif | Écrire | |||
| UpdateAccountEmailAddress | Accorde l'autorisation de mettre à jour l’adresse e-mail associée au compte | Écrire | |||
| UpdateAccountName | Accorde l'autorisation de mettre à jour le nom de compte associé au compte | Écrire | |||
| UpdateAccountPasswordPolicy | Accorde l'autorisation de mettre à jour les paramètres de politique de mot de passe pour Compte AWS | Écrire | |||
| UpdateAssumeRolePolicy | Accorde l'autorisation de mettre à jour la politique qui accorde à une entité IAM des autorisations pour assumer un rôle | Gestion des autorisations | |||
| UpdateCloudFrontPublicKey | Autorise la mise à jour d'une clé CloudFront publique existante | Écrire | |||
| UpdateGroup | Accorde l'autorisation de mettre à jour le nom ou le chemin du groupe IAM spécifié | Écriture | |||
| UpdateLoginProfile | Accorde l'autorisation de modifier le mot de passe pour l'utilisateur IAM spécifié | Écriture | |||
| UpdateOpenIDConnectProviderThumbprint | Accorde l'autorisation de mettre à jour l'ensemble de la liste des empreintes de certificat de serveur qui sont associées à une ressource de fournisseur OpenID Connect (OIDC) | Écriture | |||
| UpdateRole | Accorde l'autorisation de mettre à jour la description ou le paramètre de durée maximale de session d'un rôle | Écriture | |||
| UpdateRoleDescription | Accorde l'autorisation de mettre à jour uniquement la description d'un rôle | Écriture | |||
| UpdateSAMLProvider | Accorde l'autorisation de mettre à jour le document de métadonnées pour la ressource de fournisseur SAML existante | Écriture | |||
| UpdateSSHPublicKey | Accorde l'autorisation de mettre à jour le statut de la clé publique SSH d'un utilisateur IAM sur Actif ou Inactif | Écriture | |||
| UpdateServerCertificate | Accorde l'autorisation de mettre à jour le nom ou le chemin du certificat de serveur spécifié stocké dans IAM | Écriture | |||
| UpdateServiceSpecificCredential | Accorde l'autorisation de mettre à jour le statut des informations d'identification spécifiques à un service sur Actif ou Inactif pour un utilisateur IAM | Écriture | |||
| UpdateSigningCertificate | Accorde l'autorisation de mettre à jour l'état du certificat de signature de l'utilisateur spécifié sur Actif ou Désactivé | Écriture | |||
| UpdateUser | Accorde l'autorisation de mettre à jour le nom ou le chemin de l'utilisateur IAM spécifié | Écrire | |||
| UploadCloudFrontPublicKey | Autorise le téléchargement d'une clé CloudFront publique | Écrire | |||
| UploadSSHPublicKey | Accorde l'autorisation de télécharger une clé publique SSH et de l'associer à l'utilisateur IAM spécifié | Écrire | |||
| UploadServerCertificate | Accorde l'autorisation de télécharger une entité de certificat de serveur pour Compte AWS | Écrire | |||
| UploadSigningCertificate | Accorde l'autorisation de télécharger un certificat de signature X.509 et de l'associer à l'utilisateur IAM spécifié | Écrire |
Types de ressources définis par AWS Identity and Access Management (IAM)
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| access-report |
arn:${Partition}:iam::${Account}:access-report/${EntityPath}
|
|
| assumed-role |
arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
|
|
| federated-user |
arn:${Partition}:iam::${Account}:federated-user/${UserName}
|
|
| group |
arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
|
|
| instance-profile |
arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
|
|
| mfa |
arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}
|
|
| oidc-provider |
arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
|
|
| policy |
arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
|
|
| role |
arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
|
|
| saml-provider |
arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
|
|
| server-certificate |
arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
|
|
| sms-mfa |
arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
|
|
| user |
arn:${Partition}:iam::${Account}:user/${UserNameWithPath}
|
Clés de condition pour AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification transmises dans la demande | ArrayOfString |
| iam:AWSServiceName | Filtre l'accès en AWS fonction du service auquel ce rôle est attaché | Chaîne |
| iam:AssociatedResourceArn | Filtre l'accès en fonction de la ressource pour laquelle le rôle sera utilisé | ARN |
| iam:FIDO-FIPS-140-2-certification | Filtre l'accès en fonction du niveau de certification de la validation FIPS-140-2 du dispositif MFA au moment de l'enregistrement d'une clé de sécurité FIDO | Chaîne |
| iam:FIDO-FIPS-140-3-certification | Filtre l'accès en fonction du niveau de certification de la validation FIPS-140-3 du dispositif MFA au moment de l'enregistrement d'une clé de sécurité FIDO | Chaîne |
| iam:FIDO-certification | Filtre l'accès en fonction du niveau de certification FIDO du dispositif MFA au moment de l'enregistrement d'une clé de sécurité FIDO | Chaîne |
| iam:OrganizationsPolicyId | Filtre l'accès en fonction de l'ID d'une politique d' AWS Organizations | Chaîne |
| iam:PassedToService | Filtre l'accès par le AWS service auquel ce rôle est transféré | Chaîne |
| iam:PermissionsBoundary | Filtre l'accès si la politique spécifiée est définie en tant que limite d'autorisations sur l'entité IAM (utilisateur ou rôle) | ARN |
| iam:PolicyARN | Filtre l'accès en fonction de l'ARN d'une politique IAM | ARN |
| iam:RegisterSecurityKey | Filtre l'accès en fonction de l'état actuel de l'activation du dispositif MFA | Chaîne |
| iam:ResourceTag/${TagKey} | Filtre les accès en fonction des balises attachées à une entité IAM (utilisateur ou rôle) | Chaîne |
