Actions, ressources et clés de condition pour AWS Network Firewall - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour AWS Network Firewall

AWS Network Firewall (préfixe de service :network-firewall) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Actions définies par AWS Network Firewall

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AssociateFirewallPolicy Accorde l'autorisation de créer une association entre une politique de pare-feu et un pare-feu Écriture

Firewall*

FirewallPolicy*

AssociateSubnets Accorde l'autorisation d'associer des sous-réseaux de VPC à un pare-feu Écrire

Firewall*

CreateFirewall Autorise la création d'un pare-feu AWS Network Firewall Écrire

Firewall*

iam:CreateServiceLinkedRole

FirewallPolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFirewallPolicy Autorise la création d'une politique de pare-feu AWS Network Firewall Écrire

FirewallPolicy*

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Autorise la création d'un groupe de règles AWS Network Firewall Écrire

StatefulRuleGroup

StatelessRuleGroup

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTLSInspectionConfiguration Accorde l'autorisation de créer une configuration d'inspection TLS du AWS Network Firewall Écrire

TLSInspectionConfiguration*

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteFirewall Accorde l'autorisation de supprimer un pare-feu Écriture

Firewall*

DeleteFirewallPolicy Accorde l'autorisation de supprimer une politique de pare-feu Écriture

FirewallPolicy*

DeleteResourcePolicy Accorde l'autorisation de supprimer une politique de ressource d'une politique de pare-feu ou d'un groupe de règles Écriture

FirewallPolicy

StatefulRuleGroup

StatelessRuleGroup

DeleteRuleGroup Accorde l'autorisation de supprimer un groupe de règles Écrire

StatefulRuleGroup*

StatelessRuleGroup*

DeleteTLSInspectionConfiguration Accorde l'autorisation de supprimer une configuration d'inspection TLS Écrire

TLSInspectionConfiguration*

DescribeFirewall Accorde l'autorisation de récupérer les objets de données qui définissent un pare-feu Lecture

Firewall*

DescribeFirewallPolicy Accorde l'autorisation de récupérer les objets de données qui définissent une politique de pare-feu Lecture

FirewallPolicy*

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

DescribeLoggingConfiguration Accorde l'autorisation de décrire la configuration de journalisation d'un pare-feu Lecture

Firewall*

DescribeResourcePolicy Accorde l'autorisation de décrire une politique de ressource d'une politique de pare-feu ou d'un groupe de règles Lecture

FirewallPolicy

StatefulRuleGroup

StatelessRuleGroup

DescribeRuleGroup Accorde l'autorisation de récupérer les objets de données qui définissent un groupe de règles Lecture

StatefulRuleGroup

StatelessRuleGroup

DescribeRuleGroupMetadata Accorde l'autorisation de récupérer les informations de haut niveau à propos d'un groupe de règles Lecture

StatefulRuleGroup

StatelessRuleGroup

DescribeTLSInspectionConfiguration Accorde l'autorisation de récupérer les objets de données qui définissent une configuration d'inspection TLS Lecture

TLSInspectionConfiguration*

DisassociateSubnets Accorde l'autorisation de dissocier les sous-réseaux VPC d'un pare-feu Écriture

Firewall*

ListFirewallPolicies Accorde l'autorisation de récupérer les métadonnées pour les politiques de pare-feu Liste

FirewallPolicy*

ListFirewalls Accorde l'autorisation de récupérer les métadonnées pour des pare-feu Liste

Firewall*

ListRuleGroups Accorde l'autorisation de récupérer les métadonnées des groupes de règles Liste
ListTLSInspectionConfigurations Accorde l'autorisation de récupérer les métadonnées des configurations d'inspection TLS Liste

TLSInspectionConfiguration*

ListTagsForResource Accorde l'autorisation de récupérer les balises d'une ressource Liste

Firewall*

FirewallPolicy*

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

PutResourcePolicy Accorde l'autorisation de placer une politique de ressource d'une politique de pare-feu ou d'un groupe de règles Écriture

FirewallPolicy

StatefulRuleGroup

StatelessRuleGroup

TagResource Accorde l'autorisation d'attacher des balises à une ressource Balisage

Firewall

FirewallPolicy

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Accorde l'autorisation de supprimer des identifications d'une ressource. Balisage

Firewall

FirewallPolicy

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

aws:TagKeys

UpdateFirewallDeleteProtection Accorde l'autorisation d'ajouter ou de supprimer une protection d'un pare-feu Écriture

Firewall*

UpdateFirewallDescription Accorde l'autorisation de modifier la description d'un pare-feu Écrire

Firewall*

UpdateFirewallEncryptionConfiguration Accorde l'autorisation de modifier la configuration de chiffrement d'un pare-feu Écrire

Firewall*

UpdateFirewallPolicy Accorde l'autorisation de modifier une politique de pare-feu Écriture

FirewallPolicy*

StatefulRuleGroup

StatelessRuleGroup

TLSInspectionConfiguration

UpdateFirewallPolicyChangeProtection Accorde l'autorisation d'ajouter ou de supprimer une protection contre les modifications d'une politique de pare-feu Écriture

Firewall*

UpdateLoggingConfiguration Accorde l'autorisation de modifier la configuration de journalisation d'un pare-feu Écriture

Firewall*

UpdateRuleGroup Accorde l'autorisation de modifier un groupe de règles Écriture

StatefulRuleGroup

StatelessRuleGroup

UpdateSubnetChangeProtection Accorde l'autorisation d'ajouter ou de supprimer une protection contre les modifications de sous-réseau d'un pare-feu Écrire

Firewall*

UpdateTLSInspectionConfiguration Accorde l'autorisation de modifier une configuration d'inspection TLS Écrire

TLSInspectionConfiguration*

Types de ressources définis par AWS Network Firewall

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
Firewall arn:${Partition}:network-firewall:${Region}:${Account}:firewall/${Name}

aws:ResourceTag/${TagKey}

FirewallPolicy arn:${Partition}:network-firewall:${Region}:${Account}:firewall-policy/${Name}

aws:ResourceTag/${TagKey}

StatefulRuleGroup arn:${Partition}:network-firewall:${Region}:${Account}:stateful-rulegroup/${Name}

aws:ResourceTag/${TagKey}

StatelessRuleGroup arn:${Partition}:network-firewall:${Region}:${Account}:stateless-rulegroup/${Name}

aws:ResourceTag/${TagKey}

TLSInspectionConfiguration arn:${Partition}:network-firewall:${Region}:${Account}:tls-configuration/${Name}

aws:ResourceTag/${TagKey}

Clés de condition pour AWS Network Firewall

AWS Network Firewall définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des étiquettes. Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction de la valeur de balise associée à la ressource Chaîne
aws:TagKeys Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande ArrayOfString