Actions, ressources et clés de condition pour les services AWS - Référence de l'autorisation de service

Actions, ressources et clés de condition pour les services AWS

Chaque service AWS peut définir des actions, des ressources et des clés de contexte de condition à utiliser dans des stratégies IAM. Cette rubrique décrit la façon dont les éléments fournis pour chaque service sont documentés.

Chaque rubrique se compose de tableaux répertoriant des actions, ressources et clés de condition disponibles.

Tableau Actions

Le tableau Actions répertorie toutes les actions que vous pouvez utiliser dans l'élément Action d'une déclaration de politique IAM. Certaines opérations d'API définies par un service ne peuvent pas être utilisées en guise d'action dans une politique IAM. De plus, un service peut définir des actions qui ne correspondent pas directement à une opération d'API. Utilisez cette liste pour déterminer quelles actions utiliser dans une politique IAM. Pour de plus amples informations sur les éléments Action, Resource ou Condition, veuillez consulter le document Référence des éléments de politique JSON IAM. Les colonnes Actions et Description du tableau sont auto-descriptives.

  • La colonne Access Level (Niveau d'accès) spécifie la façon dont l'action est classée (Liste, Lecture, Écriture, Gestion des autorisations ou Balisage). Cette classification peut vous aider à comprendre le niveau d'accès accordé par une action utilisée dans une politique. Pour de plus amples informations sur les niveaux d'accès, veuillez consultez Présentation des récapitulatifs de niveau d'accès au sein des récapitulatifs de politiques.

  • La colonne Resource Types (Types de ressources) indique si l'action prend en charge les autorisations au niveau des ressources. Si la colonne est vide, l'action ne prend pas en charge les autorisations au niveau des ressources et vous devez spécifier toutes les ressources (« * ») dans votre politique. Si la colonne inclut un type de ressource, vous pouvez spécifier l'ARN de la ressource dans l'élément Resource de votre politique. Pour de plus amples informations sur cette ressource, veuillez consulter cette ligne dans le tableau Resource types (Types de ressources). Toutes les actions et ressources incluses dans une déclaration doivent être mutuellement compatibles. Si vous spécifiez une ressource qui n'est pas valide pour l'action, toute demande d'utilisation de cette action échoue et l'élément Effect de la déclaration ne s'applique pas.

    Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous indiquez un ARN d'autorisation au niveau des ressources dans une déclaration à l'aide de cette action, il doit être de ce type. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

  • La colonne Condition keys (Clés de condition) inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Les clés de condition peuvent être prises en charge avec une action, ou avec une action et une ressource spécifique. Veillez à ce que la clé se trouve sur la même ligne qu'un type de ressource spécifique. Cette table n'inclut pas les clés de condition globales qui sont disponibles pour toute action ou dans des circonstances indépendantes. Pour de plus amples informations sur les clés de condition globales, veuillez consulter Clés de contexte de condition globales AWS.

  • La colonne Dependent Actions (Actions dépendantes) spécifie toutes les autorisations supplémentaires dont vous devez disposer, en plus de l'autorisation concernant l'action elle-même, afin d'appeler l'action avec succès. Cela peut être nécessaire si l'action accède à plusieurs ressources.

Tableau Types de ressources

Le tableau Resource Types (Types de ressources) répertorie tous les types de ressources que vous pouvez spécifier en tant qu'ARN dans l'élément de politique Resource. Tous les types de ressources ne peuvent pas être spécifiés avec chaque action. Certains types de ressources fonctionnent avec seulement certaines actions. Si vous spécifiez un type de ressource dans une déclaration avec une action qui ne prend pas en charge ce type de ressource, la déclaration n'autorise pas l'accès. Pour de plus amples informations sur l'élément Resource, veuillez consulter Éléments de politique JSON IAM : ressource.

  • La colonne ARN spécifie le format Amazon Resource Name (ARN) à utiliser pour référencer des ressources de ce type. Les parties précédées d'un symbole $ doivent être remplacées par les valeurs réelles de votre scénario. Par exemple, si $user-name s'affiche dans un ARN, vous devez remplacer cette chaîne par le nom de l'utilisateur IAM ou une variable de politique contenant le nom d'un utilisateur IAM. Pour de plus amples informations sur les ARN, veuillez consulter ARN IAM.

  • La colonne Condition keys (Clés de condition) spécifie les clés de contexte de condition que vous pouvez inclure dans une déclaration de politique IAM uniquement lorsque cette action et cette ressource sont incluses dans la déclaration.

Tableau Clés de condition

Le tableau Condition keys (Clés de condition) répertorie toutes les clés de contexte de condition que vous pouvez utiliser dans l'élément Condition d'une déclaration de politique IAM. Certaines clés ne peuvent pas être spécifiées avec chaque action ou ressource. Certaines clés fonctionnent uniquement avec certains types d'actions et de ressources. Pour de plus amples informations sur l'élément Condition, veuillez consulter Éléments de politique JSON IAM : condition.

  • La colonne Type spécifie le type de données de la clé de condition. Ce type de données détermine les opérateurs de condition que vous pouvez utiliser pour comparer les valeurs de la demande avec les valeurs de la déclaration de politique. Vous devez utiliser un opérateur correspondant au type de données. Dans le cas contraire, la correspondance échoue toujours et la déclaration de politique ne s'applique jamais.

    Si la colonne Type spécifie une « Liste de... » l'un des types simples, vous pouvez alors utiliser plusieurs clés et valeurs dans vos stratégies. Pour cela, utilisez des préfixes de définition de condition avec vos opérateurs. Utilisez le préfixe ForAllValues pour spécifier que toutes les valeurs de la demande doivent correspondre à une valeur de la déclaration de politique. Utilisez le préfixe ForAnyValue pour spécifier qu'au moins une valeur de la demande correspond à l'une des valeurs de la déclaration de politique.

Rubriques